环境

“”页面包含以下部分:

受监控网络

“受监控网络”配置包含一组 IP 范围(CIDR/子网),用于定义 OT Security 的监控边界。OT Security 会忽略配置范围之外的资产。

默认情况下,OT Security 会配置三个默认公共范围:10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16,以及链接本地范围 169.254.0.0/16 (APIPA)。

要禁用任何默认范围或添加适合您网络的范围,请执行以下操作:

  1. 在“受监控的网络”部分,单击“编辑”。

    此时会出现“受监控的网络”面板。

  2. 在指定的文本框中选择所需的“默认 IP 范围”和/或添加“其他 IP 范围”(每行一个 IP 范围)。

  3. 单击“保存”。

    OT Security 会保存受监控的网络配置。

重复的内部网络

将 IP 地址分配给多个设备时,会发生 IP 范围重叠。重叠的 IP 范围在制造环境中很常见,这给准确识别和跟踪资产带来了挑战,进而会造成可见性缺口、资产关联错误等问题。您可以定义 OT Security 的重叠网络,以便即使在不同网段中重复使用 IP 地址时,也能准确跟踪资产。

注意:如果传感器和另一个源(例如另一个传感器或本地 ICP)同时检测到重复网络中的资产,OT Security 接口会将其合并为单个资产。但是,统计许可数量时,系统会将其视为两个资产。为防止此问题,Tenable 建议调整重复的网络范围以排除此类资产。

添加重复网络

开始之前

  • 确保您已配对经过身份验证的传感器。

    注意OT Security 不支持在未经身份验证的传感器上使用重复网络。

如要在环境中定义重复网络,请执行以下操作:

  1. 在“重复的内部网络”部分,单击“添加网络”。

    此时会出现“添加重复的网络”面板,其中包含网络详细信息

    注意OT Security 使用 240.0.0.0/4 IP 范围作为将 IP 地址映射到 NAT IP 分配的内部保留池。要更改此保留池范围,请联系 Tenable 支持部门。

  2. 在“重复的 IP 范围”框中,以 CIDR 格式输入 IP 范围,例如,192.168.0.0/24。

  3. 从“重复项(传感器)”下拉框中,选择与重复的 IP 范围关联的传感器。

  4. 单击“下一步”。

    此时会出现“确认”面板。

  5. (可选)选中“删除资产”复选框。

    提示:要将所有所选资产分离到各自的网络中,Tenable 建议您允许 OT Security 删除资产并在启动后重新发现它们。如果您未选中“删除资产”复选框,资产将保留在当前的 IP 范围内,这可能会导致不一致或出现意外行为。

  6. 单击“保存”。

    OT Security 会保存重复的 IP 范围,相关范围会显示在“重复的内部网络”表中。

    重要说明:完成配置重复的网络后,Tenable 建议您重新启动 OT Security,然后再启用传感器。

  7. 重新启动 OT Security

  8. 要启用传感器,请转至“本地设置”>“传感器”:

    注意:主动查询的 IP 范围 (CIDR) 是您在“重复的内部网络”设置中配置的范围。

    1. 请执行下列操作之一:

      • 单个传感器:右键单击传感器,然后单击“编辑”。在“编辑传感器”面板中,单击“传感器主动查询”切换开关以启用主动查询。

      • 多个传感器:选择所有需要的传感器。在标题中,选择“批量操作”>“启用主动查询”。

    2. 右键单击传感器,将状态从“已暂停”更改为“已连接”以将其激活。

后续步骤

配置重复的网络并重新启动 OT Security 之后,资产在“所有资产”表中以其实际 IP 显示。此外,在输入分配给重复网络的 IP 时,必须选择相应的传感器。例如:在“主动查询”>“发现/Nessus 扫描”>“创建扫描”中,或在“凭据”>“测试凭据”中:

  • 在“清单”>“所有资产”中,查看“所有资产”表中的实际 IP 地址和资产来源。例如,两个共用同一 IP 地址但与不同传感器关联的资产。

  • 在“主动查询”>“查询管理”>“发现”或“Nessus 扫描”>“创建扫描”中,配置涉及重复网络的主动查询时,请选择该 IP 范围的“相关传感器”。这允许您运行与特定传感器关联的资产的查询,同时排除其他传感器。

    注意OT Security 仅针对重复的网络中的 IP 范围启用“相关传感器”框。此项对所有其他 IP 范围保持禁用状态。

  • 在“主动查询”>“凭据”>“测试凭据”中配置凭据时,如果您输入了重复网络中的 IP 范围,则还必须在“重复项(传感器)”框中选择关联的传感器。

  • 要为属于重复网络的资产创建资产组,请使用“资产选择”选项,并根据“资产”表中的“来源”列识别特定 IP。

“重复的内部网络”表显示以下详细信息:

描述
CIDR 重复的网络 IP 范围。
传感器 与重复的网络 IP 范围关联的传感器。
正在使用 - 发现查询 指示 CIDR 是否正在至少一个资产发现(主动查询)中使用。如果是,请移除 CIDR 主动发现,然后再删除包含该 CIDR 的重复网络。
正在使用 - Nessus 扫描 指示 CIDR 是否正在至少一个 Nessus 扫描中使用。如果是,请从 Nessus 扫描中移除 CIDR,然后再删除包含该 CIDR 的重复网络。

对重复的内部网络的操作

如要编辑重复的网络,请执行以下操作:

  1. 在“重复的内部网络”部分,选择要修改的重复网络。

  2. 请执行下列操作之一:

    • 右键单击重复的网络并选择“编辑”。

    • 在该部分的右上角,选择“操作”>“编辑”。

      此时会出现“编辑重复的网络”面板,其中包含所选重复网络的详细信息。

  3. 根据需要修改值。

  4. 单击“下一步”。

  5. 在“确认”面板中,单击“保存”。

    OT Security 会保存对重复的网络所做的更改。

可以删除不再需要的重复网络。

如要删除重复的网络,请执行以下操作:

  1. 在“重复的内部网络”部分,选择要删除的重复网络。

  2. 请执行下列操作之一:

    • 右键单击重复的网络并选择“删除”。

    • 在该部分的右上角,选择“操作”>“删除”。

OT Security 会删除重复的网络。

  1. 从 Nessus 扫描/主动发现中移除 CIDR。

  2. 从重复的网络设置配置中删除传感器。

  3. 如需替换,请使用 API 设置新的传感器 ID 并替换旧的传感器。

  4. 在“传感器”页面中,删除旧的传感器。

事件群集

为了便于监控事件,具有相同特性的多个事件会划分到一个群集中。群集基于事件类型(即共享相同策略的事件)、源和目标资产等。

必须在以下已配置时间间隔内生成要划分到一个群集的事件:

  • 连续事件之间的最长时间间隔:设置事件之间的最长时间间隔。如果超过此时间,连续事件则不会划分到一个群集中。

  • 第一个和最后一个事件之间的最长时间间隔:设置所有事件显示为一个群集的最长时间间隔。在此时间间隔之后生成的事件将不是群集的一部分。

若要启用群集,请执行以下操作:

  1. 此时会出现“事件群集”页面。

  2. 单击切换开关以启用所需的群集类别。

  3. 如要配置某个类别的时间间隔,请单击“编辑”。

    此时会出现“编辑配置”窗口。

  4. 在数字框中输入所需的数值,并使用下拉框选择时间单位。

    注意:有关群集和时间间隔的更多信息,请单击 按钮。

  5. 单击“保存”。