ポリシー除外の作成

ポリシーが、セキュリティ脅威をもたらさない特定の条件に対してイベントを生成している場合は、それらの条件をポリシーから除外できます (これらの特定の条件に対するイベントの生成を停止できます)。たとえば、勤務時間中に発生するコントローラー状態の変更を検出するポリシーがあったとしても、特定のコントローラーではその時間中に状態が変化することは正常であると判断した場合、そのコントローラーをポリシーから除外できます。

ポリシーによって生成されたイベントに基づいて、[イベント] ページから除外を作成できます。ポリシーから除外する特定のイベントの条件を指定できます。

指定した条件のイベントの生成を後で再開するために、除外を削除できます。ポリシーを参照してください。

ポリシーの除外の作成手順

  1. 関連する [イベント] ページ (設定イベント、SCADA イベント、ネットワーク脅威、ネットワークイベント) で、除外を作成するイベントを選択します。

  2. ヘッダーバーで、[アクション] をクリックするか、イベントを右クリックします。

    [アクション] メニューが表示されます。

  3. [ポリシーから除外] をクリックします。

    [ポリシーから除外] ウィンドウが開きます。

  4. [条件の除外] セクションでは、デフォルトですべての条件が選択されています。

    これにより、指定された条件のいずれかを満たすイベントがポリシーから除外されます。イベントの生成を継続する各条件の横にあるチェックボックスを解除できます。

    注意: たとえば、以下に示すウィンドウで、指定したソース資産とデスティネーション資産および IP をこのポリシーから除外したいものの、このポリシーをネットワーク内の他の資産間の UDP 対話に引き続き適用するには、「プロトコルは UDP です」を選択解除する必要があります。

    注意: 除外できる条件のセットは、ポリシーのタイプによって異なります。次の表を参照してください。

  5. (オプション) [除外の説明] ボックスで、除外に関するコメントを追加できます。

  6. [除外] をクリックします。

    OT Security が除外を作成します。

    次の表は、イベントのタイプごとに除外できる条件を示しています。

    ポリシーカテゴリ イベントタイプ 除外条件
    コントローラーアクティビティ 設定イベント (アクティビティ)
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

    コントローラー検証 キー状態の変化

    ソース資産

      コントローラー状態の変化 ソース資産
      FW バージョンの変更 ソース資産
      確認されないモジュール ソース資産
      スナップショットの不一致 ソース資産
    ネットワーク 確認されない資産 ソース資産
      USB 構成の変更
    • ソース資産

    • USB デバイス ID

      IP の競合
    • MAC アドレス

    • IP アドレス

      ネットワークベースラインの逸脱
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

    • プロトコル

      オープンポート
    • ソース資産

    • ソース IP

    • ポート

      RDP 接続
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

      認証されていない会話
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

    • プロトコル

      FTP ログイン (失敗および成功)
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

      Telnet ログイン (試行、失敗、成功)
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

    ネットワーク脅威 侵入検知
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

    • SID

      ARP スキャン
    • ソース資産

    • ソース IP

      ポートスキャン
    • ソース資産

    • ソース IP

    SCADA Modbus の不正なデータアドレス
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

      Modbus の不正なデータ値
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

      Modbus の不正な関数
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

      承認されていない書き込み
    • ソース資産

    • デスティネーション資産

    • タグ名

     

    IEC60870-5-104 StartDT

    IEC60870-5-104 StopDT

    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

      IEC60870-5-104 関数コードベースのイベント
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

    • COT

      DNP3 イベント
    • ソース資産

    • ソース IP

    • デスティネーション資産

    • デスティネーション IP

    • ソース DNP3 アドレス

    • デスティネーション DNP3 アドレス