ポリシーの作成

ICS ネットワークの特定の考慮事項に基づいて、カスタムポリシーを作成できます。どのタイプのイベントをスタッフに通知すべきか、通知をどのように配信するかを正確に決定できます。また、各ポリシーにどの程度具体的に、または広範な定義を与えるかについて完全に柔軟な形で決定できます。

注意: ポリシーは、システムで設定されたグループを使用して定義されます。特定のパラメーターのドロップダウンリストにポリシーを適用したい特定のグループ化が表示されない場合は、必要に応じて新しいグループを作成できます。グループを参照してください。

新しいポリシーを作成する場合、まず作成したいポリシーのカテゴリとタイプを選択します。[ポリシー作成] ウィザードがセットアッププロセスをガイドします。各ポリシータイプには、関連するポリシー条件パラメーターの独自のセットがあります。[ポリシー作成] ウィザードは、選択したポリシーのタイプの関連するポリシー条件パラメーターを表示します。

ソース、デスティネーション、スケジュールのパラメーターでは、指定したグループを許可リストに入れるかブロックリストに入れるかを指定できます。

  • [含む] を選択して、指定したグループを許可リストに追加 (つまり、ポリシーに含める)、または

  • [含まない] を選択して、指定したグループをブロックリストに追加 (つまり、ポリシーから除外) します。

資産グループとネットワークセグメントのパラメーター (すなわち、ソース、デスティネーション、影響を受ける資産) では、論理演算子 (AND/OR) を使用して、事前定義されたグループのさまざまな組み合わせまたはサブセットにポリシーを適用できます。たとえば、ICS デバイスまたは ICS サーバーのいずれかのデバイスにポリシーを適用する場合は、[ICS デバイス] または [ICS サーバー] を選択します。ポリシーを工場 A にあるコントローラーのみに適用する場合は、コントローラーと工場 A デバイスを選択します。

既存のポリシーと同様のパラメーターで新しいポリシーを作成したい場合は、元のポリシーを複製して必要な変更を行うことができます。ポリシーの作成のセクションを参照してください。

注意: ポリシーを作成した後、注意を必要としない状況でポリシーがイベントを生成していることが判明した場合は、ポリシーから特定の条件を除外できます。イベントを参照してください。

新しいポリシーの作成手順

  1. [プロパティ] 画面で、[ポリシーの作成] をクリックします。

    [ポリシーの作成] ウィザードが開きます。

  2. [ポリシーカテゴリ] をクリックして、サブカテゴリおよび / またはポリシータイプを表示します。

    そのカテゴリに含まれるすべてのサブカテゴリおよび / またはタイプのリストが表示されます。

  3. [ポリシーのタイプ] を選択します。

  4. [次へ] をクリックします。

    ポリシーを定義するための一連のパラメーターが表示されます。これには、選択したポリシータイプに関連するすべてのポリシー条件が含まれます。

  5. [ポリシー名] フィールドに、このポリシーの名前を入力します。

    注意: ポリシーに検出させるイベントのタイプに関する特定の性質を説明する名前を選択してください。

  6. 各パラメーターに対して、以下の手順を行います。

    重要: 侵入検知システム (IDS) イベントの ソース および デスティネーション の資産グループを編集することはできません。

    1. 必要に応じて、選択した要素を許可リストに追加するには [含める] (デフォルト) を、選択した要素をブロックリストに追加するには [含まない] を選択します。

    2. [選択] をクリックします。

      関連する要素 (資産グループ、ネットワークセグメント、ポートグループ、スケジュールグループなど) のドロップダウンリストが表示されます。

    3. 目的の要素を選択します。

      注意: 希望するポリシーの適用に最適なグループ化が存在しない場合は、必要に応じて新しいグループを作成できます。グループを参照してください。

    4. 資産パラメーター (例: ソース、デスティネーション、影響を受ける資産) で、「Or」条件を使って資産グループ / ネットワークセグメントを追加したい場合は、フィールドの横にある青い [+ Or] ボタンをクリックし、別の資産グループ / ネットワークセグメントを選択します。

    5. 資産パラメーター (例: ソース、デスティネーション、影響を受ける資産) で、「And」条件を使って資産グループ / ネットワークセグメントを追加したい場合は、フィールドの横にある青い [+ And] ボタンをクリックし、別の資産グループ / ネットワークセグメントを選択します。

  7. [次へ] をクリックします。

    一連のポリシーアクションパラメーター (つまり、ポリシーヒットが発生したときにシステムによって実行されるアクション) が表示されます。

  8. [深刻度] セクションで、このポリシーに設定する深刻度レベルをクリックします。

  9. イベントログを 1 つ以上の Syslog サーバーに送信する場合は、[Syslog] セクションで、イベントログを送信する各サーバーの横にあるチェックボックスを選択します。

    注意: Syslog サーバーを追加するには、Syslog サーバーを参照してください。

  10. イベントのメール通知を送信する場合は [E メールグループ] フィールドで、ドロップダウンリストから通知する E メールグループを選択します。

    注意: SMTP サーバーを追加するには、SMTP サーバーを参照してください。

  11. [その他のアクション] セクションで、指定されたアクションが関連している場合

    • ポリシーヒットが初めて発生した後にポリシーを無効にしたい場合は、[初回ヒット後にポリシーを無効化] チェックボックスを選択します (このアクションは、一部のタイプのネットワークイベントポリシーおよび一部のタイプの SCADA イベントポリシーに関連しています)。

    • ポリシーヒットが検出されるたびに、影響を受ける資産の自動スナップショットを開始したい場合は、[ポリシーヒット後にスナップショットを作成] チェックボックスを選択します (このアクションは、一部のタイプの設定イベントポリシーに関連しています)。

  12. [作成] をクリックします。新しいポリシーが作成され、自動的にアクティブ化されます。ポリシーが [ポリシー] 画面のリストに表示されます。

承認されていない書き込みポリシーの作成

このタイプのポリシーは、コントローラータグへの承認されていない書き込みを検出します。ポリシー定義では、関連するタググループとポリシーヒットを生成する書き込みのタイプを指定する必要があります。

承認されていない書き込みポリシーへのポリシー定義の設定手順

  1. ポリシーの作成の説明に従って、新しい承認されていない書き込みポリシーを作成します。

  2. [ポリシー定義] セクションの [タググループ] フィールドで、このポリシーが適用されるタググループを選択します。

  3. [タグ値] セクションで、ラジオボタンをクリックして希望のオプションを選択し、必要なフィールドに入力します。オプションは次のとおりです。

    • 任意の値 – このオプションを選択すると、タグ値へのすべての変更を検出します。

    • 値と異なる – このオプションを選択すると、指定した値以外のすべての値を検出します。この選択肢の横にあるフィールドに指定した値を入力します。

    • 許容範囲外 – このオプションを選択すると、指定された範囲外のすべての値を検出します。この選択肢の横にある許容範囲の下限と上限のそれぞれのフィールドに値を入力します。

      注意: [値と異なる] と [許容範囲外] オプションは、標準のタグタイプ (整数、ブール値など) でのみ利用でき、カスタマイズされたタグや文字列では利用できません。

  4. ポリシーの作成の説明に従って、ポリシー作成手順を完了します。