环境配置

受监控网络

“受监控网络”配置包含一组 IP 范围(CIDR/子网),用于定义 OT Security 的监控边界。OT Security 会忽略配置范围之外的资产。

默认情况下,OT Security 会配置三个默认公共范围:10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16,以及链接本地范围 169.254.0.0/16 (APIPA)。

要禁用任何默认范围或添加适合您网络的范围,请执行以下操作:

  1. 转至“本地设置”>“环境配置”>“资产设置”。

    此时会出现“资产设置”窗口。

  2. 单击“编辑”。

    此时会出现“受监控的网络”面板。

  3. 在指定的文本框中选择所需的“默认 IP 范围”和/或添加“其他 IP 范围”(每行一个 IP 范围)。

  4. 单击“保存”。

    OT Security 会保存受监控的网络配置。

手动添加资产

为了跟踪清单,即使 OT Security 尚未检测到这些资产,您也可能希望查看这些资产。可以通过下载并编辑 CSV 文件,然后将该文件上传到系统来手动将这些资产添加到清单中。您只能上传其 IP 未被系统中现有资产所使用的资产。如果系统检测到具有相同 IP 的网络通信资产,则系统将使用检索到的有关已检测到资产的信息并覆盖之前上传的信息。当检测到在网络中通信时,系统会开始将该资产作为常规资产进行处理。

已上传资产的 IP 地址会计入系统许可。

OT Security 检测到上传的资产之前,其风险评分为 0。

注意:手动添加资产后,OT Security 在检测到这些资产在网络中发生通信后才会检测与之相关的事件。

若要手动添加资产,请执行以下操作:

  1. 转至“本地设置”>“环境配置”>“资产设置”。

    此时会出现“资产设置”屏幕。

  2. 打开“手动添加资产”,在“操作”菜单中选择“下载 CSV 模板”。

    OT Security 会下载 tot_Assets 模板文档。

  3. 打开 tot_Assets 模板文档。

  4. 根据文件中的说明精确编辑 tot_Assets 模板,仅保留列标题(名称、类型等)和输入的值。

  5. 保存已编辑的文件。

  6. 返回“资产设置”屏幕。

  7. 在“操作”菜单中,选择“上传 CSV”,然后导航至要上传的 CSV 文件并打开文件。

  8. 在“手动添加资产”中,单击“下载报告”。

    此时会显示一个包含报告的 CSV 文件,“结果”列中会显示成功和失败。错误的详细信息会显示在“错误”列中。

事件群集

为了便于监控事件,具有相同特性的多个事件会划分到一个群集中。群集基于事件类型(即共享相同策略的事件)、源和目标资产等。

必须在以下已配置时间间隔内生成要划分到一个群集的事件:

  • 连续事件之间的最长时间间隔:设置事件之间的最长时间间隔。如果超过此时间,连续事件则不会划分到一个群集中。

  • 第一个和最后一个事件之间的最长时间间隔:设置所有事件显示为一个群集的最长时间间隔。在此时间间隔之后生成的事件将不是群集的一部分。

若要启用群集,请执行以下操作:

  1. 转至“本地设置”,然后转至“环境配置”>“事件群集”。

    此时会出现“事件群集”屏幕。

  2. 单击切换开关以启用所需的群集类别。

  3. 如要配置某个类别的时间间隔,请单击“编辑”。

    此时会出现“编辑配置”窗口。

  4. 在数字框中输入所需的数值,并使用下拉框选择时间单位。

    注意:有关群集和时间间隔的更多信息,请单击 按钮。
  5. 单击“保存”。

PCAP 播放器

OT Security 支持上传包含记录的网络活动的 PCAP(数据包捕获)文件,并在 OT Security 上“播放”。在“播放”PCAP 文件时,OT Security 会监控网络流量,并记录有关检测到的资产、网络活动和漏洞的所有信息,如同流量出现在您的网络中一样。此功能可用于模拟目的,或分析在 OT Security 监控的网络之外发生的流量。例如,远程工厂。

注意:PCAP 播放器支持这些文件类型:.pcap.pcapng.pcap.gz.pcapng.gz。可以使用由 OT Security 的实例或其他网络监控工具记录的文件。

上传 PCAP 文件

若要上传 PCAP 文件,请执行以下操作:

  1. 转至“本地设置”>“环境配置”>“PCAP 播放器”。

  2. 单击“上传 PCAP 文件”。

    此时会打开文件资源管理器

  3. 选择所需的 PCAP 记录。

  4. 单击“打开”。

    OT Security 将 PCAP 文件上传到系统。

播放 PCAP 文件

若要播放 PCAP 文件,请执行以下操作:

  1. 转至“本地设置”>“环境配置”>“PCAP 播放器”。

  2. 选择要播放的 PCAP 录音。

  3. 单击“操作”>“播放”。

    此时会出现“播放 PCAP”向导。

  4. 在“播放速度”下拉框中,选择您希望系统播放文件的速度。

    选项为:“1X”、“2X”、“4X”、“8X”或“16X”。

    注意:播放 PCAP 文件会将数据注入到系统中,此操作在执行后无法撤消或停止。
  5. 单击“播放”。

    系统播放 PCAP 文件。PCAP 文件中的所有网络活动都会在系统中注册,并且系统识别的资产会添加到资产清单中。

    注意:当某个文件仍在播放时,不能播放另一个 PCAP 文件。