ポリシー

OT Security に含まれているポリシーは、ネットワークで発生する疑わしいイベント、認証されていないイベント、異常なイベント、またはその他の特筆すべき特定のタイプのイベントを定義するために使用されます。特定のポリシーのすべてのポリシー定義条件を満たすイベントが発生すると、システムでイベントが生成されます。システムによりイベントが記録され、ポリシーで設定されているポリシーアクションに従って通知が送信されます。

  • ポリシーベースの検出 — 一連のイベント記述子で定義されたポリシーの条件が正確に満たされた場合にイベントをトリガーします。

  • 異常検出OT Security によってネットワークで異常または不審なアクティビティが識別されたときにイベントをトリガーします。

OT Security は、事前定義された一連のポリシーを備えています (標準装備)。さらに、事前定義ポリシーを編集したり、新しいカスタムポリシーを定義したりできます。

注意: デフォルトでは、ほとんどのポリシーがオンになっています。ポリシーのオン / オフについては、ポリシーを有効または無効にするを参照してください。

ポリシー設定

各ポリシーは、ネットワーク内における特定のタイプの動作を定義する一連の条件で構成されています。これには、アクティビティ、関連する資産、イベントのタイミングなどの考慮事項が含まれます。ポリシーで設定されたすべてのパラメーターに適合するイベントのみが、そのポリシーのイベントをトリガーします。各ポリシーには、イベントの深刻度、通知方法、ログ記録を定義する指定されたポリシーアクション設定があります。

グループ

OT Security のポリシーの定義で重要な要素は、グループの使用です。ポリシーを設定する場合、各ポリシーパラメーターは個々のエンティティではなくグループに属しています。これにより、ポリシー設定プロセスが合理化されます。たとえば、ファームウェアの更新というアクティビティが 1 日の特定の時間 (勤務時間中など) にコントローラーで実行されたときに疑わしいアクティビティと見なされる場合、ネットワーク内のコントローラーごとに個別のポリシーを作成する代わりに、資産グループコントローラーに適用される単一のポリシーを作成できます。

次のタイプのグループがポリシー設定で使用されます。

  • 資産グループ — システムには、資産タイプに基づいた事前定義の資産グループがあります。場所、部門、重大度などの他の要素に基づいてカスタムグループを追加できます。

  • ネットワークセグメント — システムは、資産タイプと IP 範囲に基づいて自動生成されるネットワークセグメントを作成します。同様の通信パターンを持つ資産グループを定義する、カスタムのネットワークセグメントを作成することもできます。

  • メールグループ — 特定のイベントのメール通知を受信する複数のメールアカウントをグループ化できます。たとえば、役割、部門などによるグループ化です。

  • ポートグループ — 同様の方法で使用されるポートをグループ化します。たとえば、Rockwell コントローラーで開いているポートなどです。

  • プロトコルグループ — 通信プロトコルは、プロトコルのタイプ (Modbus など)、製造元 (Rockwell 使用可能プロトコルなど) などでグループ化します。

  • スケジュールグループ — いくつかの時間範囲を、特定の共通の特性を持つスケジュールグループとしてグループ化します。たとえば、勤務時間、週末などです。

  • タググループ — さまざまなコントローラーで類似の操作データを含むタグをグループ化します。たとえば、ファーネスの温度を制御するタグです。

  • ルールグループ — Suricata Signature ID (SID) で識別される関連ルールをグループ化します。これらのグループは、侵入検知ポリシーを定義するためのポリシー条件として使用されます。

ポリシーの定義で使用できるのは、システムで設定されたグループのみです。システムには、事前定義グループのセットがあります。これらのグループを編集したり、独自のグループを追加したりできます。グループを参照してください。

注意: ポリシーパラメーターはグループを使用してのみ設定できます。ポリシーを個々のエンティティに適用する場合でも、そのエンティティのみを含むグループを設定する必要があります。

深刻度レベル

各ポリシーには、イベントをトリガーした状況によってもたらされるリスクの程度を示す特定の深刻度レベルが割り当てられています。次の表に、さまざまな深刻度レベルの説明を示します。

深刻度 説明
なし このイベントは問題ありません。
現時点では心配はありませんが、都合の良いときに確認する必要があります。
潜在的に害のあるアクティビティが発生したことに対する中程度の深刻度レベルで、都合の良いときに対処する必要があります。
潜在的に害のあるアクティビティが発生したことに対する深刻度の高いレベルで、すぐに対処する必要があります。

イベント通知

ポリシー条件に一致するイベントが発生すると、イベントがトリガーされます。[イベント] セクションに [すべてのイベント] が表示されます。[ポリシー] ページには、イベントをトリガーしたポリシーの下にそのイベントが一覧表示され、[インベントリ] ページには、影響を受けている資産の下にイベントがリストされます。さらに、Syslog プロトコルを使用する外部 SIEM または指定された E メール受信者にイベントの通知を送信するように、ポリシーを設定できます。

  • Syslog 通知 — Syslog メッセージは、標準キーとカスタムキーの両方がある CEF プロトコルを使用します (これらは OT Security で使用するように設定されています)。Syslog 通知の解釈方法については、OT Security Syslog Integration Guide (OT Security Syslog 統合ガイド) を参照してください。

  • メール通知 — メールメッセージには、通知を生成したイベントの詳細と、脅威を緩和するための手順が含まれています。

ポリシーカテゴリとサブカテゴリ

OT Security ではポリシーは次のカテゴリでまとめられています。

  • 設定イベント — これらのポリシーは、ネットワークで発生するアクティビティに関連しています。次の 2 つのサブカテゴリがあります。

    • コントローラーの検証 — これらのポリシーは、ネットワークのコントローラーで発生する変更に関連しています。対象となるものには、コントローラーの状態の変更や、ファームウェア、資産プロパティ、コードブロックの変更などがあります。ポリシーは、特定のスケジュール (平日のファームウェアアップグレードなど) および / または特定のコントローラーに制限できます。

    • コントローラーアクティビティ — これらのポリシーは、コントローラーの状態と設定に影響を与える特定のエンジニアリングコマンドに関連しています。イベントを常に生成する特定のアクティビティの定義や、イベントを生成するための一連の基準の指定が可能です。たとえば、特定のアクティビティが特定の時間や特定のコントローラーで実行された場合などです。資産、アクティビティ、スケジュールのブロックリストと許可リストの両方がサポートされています。

  • ネットワークイベントポリシー — これらのポリシーは、ネットワーク内の資産および資産間の通信ストリームに関連しています。これには、ネットワークに対して追加または削除された資産が含まれます。また、ネットワークに異常なトラフィックパターンや、懸念される原因を挙げるフラグが立てられたトラフィックパターンも含まれます。たとえば、エンジニアリングステーションが、事前に設定された一連のプロトコルの一部ではないプロトコル (特定のベンダーによって製造されたコントローラーが使用するプロトコルなど) を使用してコントローラーと通信する場合、ポリシーによってイベントがトリガーされます。これらのポリシーを、特定のスケジュールや特定の資産に制限できます。ベンダー固有のプロトコルは便宜上ベンターによってまとめられていますが、任意のプロトコルをポリシー定義で使用できます。

  • SCADA イベントポリシー — これらのポリシーは、産業プロセスに害を及ぼす可能性がある設定値の変更を検出します。この種の変更は、サイバー攻撃やヒューマンエラーに起因する場合があります。

  • ネットワーク脅威ポリシー — これらのポリシーは、署名ベースの OT/IT 脅威検出を使用して、侵入の脅威を示すネットワークトラフィックを識別します。検出は、Suricata の脅威エンジンでカタログ化されたルールに基づいています。

ポリシーのタイプ

各カテゴリおよびサブカテゴリ内には、一連の異なるタイプのポリシーがあります。OT Security には各タイプの事前定義ポリシーがあります。各タイプの独自のカスタムポリシーを作成することもできます。次の表は、カテゴリ別にグループ化されたさまざまなポリシータイプを説明しています。