OT Security 入门
按照以下入门顺序来安装并开始使用 OT Security。
检查先决条件
-
先决条件:查看 OT Security 在系统、硬件、虚拟环境和许可证方面的要求。
-
系统要求:查看安装和运行 Tenable Core + OT Security 的要求。
-
访问要求:查看运行 Tenable Core + OT Security 的互联网和端口要求。
-
网络注意事项 - 检查网络接口以连接 OT Security。
-
防火墙注意事项 - 检查 OT Security 正常运作必须打开的端口。
-
Tenable OT Security 简介:浏览培训材料以了解 OT Security。
-
安装 OT Security ICP
OT Security 是在 Tenable Core 操作系统之上运行的应用程序,需要遵守 Tenable Core 的基本要求。使用以下准则安装和配置 Tenable Core + OT Security。
要安装 OT Security,请执行以下操作:
-
- 安装 OT Security ICP 硬件设备:将 OT Security 设置为硬件设备。注意:Tenable 提供的 Tenable Core 硬件会预安装 Tenable Core + OT Security。如果要安装在较旧或过时的设备上,可选择全新安装。有关更多信息,请参阅“在 Tenable 提供的硬件上执行 Tenable Core + Tenable OT Security 全新安装”。
-
安装 OT Security ICP 虚拟设备:使用包含标准虚拟机配置的预配置 .ova 文件将 Tenable Core + OT Security 部署为虚拟机,或使用 .iso 安装文件自定义设备。
- 安装 OT Security ICP 硬件设备:将 OT Security 设置为硬件设备。
-
将 OT Security 连接到网络:将 OT Security 硬件和虚拟设备连接到网络。
-
- 设置 Tenable Core:通过 CLI 或用户界面配置 Tenable Core。
-
在 Tenable Core 上安装 OT Security:在 Tenable Core 中手动安装 Tenable OT Security。
-
使用安装向导配置 OT Security 设置:使用安装向导配置 OT Security 中的基本设置。
-
激活 OT Security 许可证:OT Security 安装完成后激活许可证。
使用 OT Security
-
启用OT Security:激活许可证后启用 OT Security。
-
开始使用 OT Security:配置受监控网络、端口分离、用户、群组、身份验证服务器等,以开始使用 OT Security。
提示:若要获得实践操作经验和 Tenable OT Security 专家认证,请参加 Tenable OT Security 专家课程。
将 OT Security 扩展为 Tenable One
将 OT Security 与 Tenable One 集成并利用以下功能:
-
在 Lumin Exposure View 中,揭示融合的风险级别,并发现跨 IT-OT 边界的隐藏弱点。您可以使用增强的 OT 数据持续监控和跟踪潜在漏洞:
-
查看全局风险暴露卡,了解您的整体评分。单击“每个风险暴露”,了解影响评分的因素以及影响程度。
-
查看运营技术风险暴露卡。
-
配置风险暴露视图设置以设置自定义卡片目标,并根据公司策略配置修复 SLA 和 SLA 效率。
-
根据业务环境创建自定义风险暴露卡,并包含您在 Tenable Inventory 中创建的新标签。
-
-
在 Tenable Inventory 中,添加特定于 OT 的见解来丰富资产发现,例如固件版本、供应商、型号和操作状态。获取标准 IT 安全工具无法提供的 OT 情报:
-
检查 OT 资产,了解接口的战略性质。这应有助于您决定在 Tenable Inventory 中要使用哪些功能以及何时使用这些功能。
-
查看您可以使用和编辑的 Tenable 查询,并为其添加书签。
-
熟悉全局搜索查询生成器及其对象和属性。为自定义查询添加书签以供日后使用。
提示:快速查看可用属性的步骤如下:- 在查询生成器中,输入“has”。此时会出现建议资产属性的列表。
- 通过添加列来自定义列表。此时会出现可用的列/属性列表。
- 深入了解“资产详细信息”页面以查看资产属性和所有关联的上下文视图。
-
为 OT 资产创建新的动态标签,其中:
-
操作符 = 主机系统类型
-
值 = PLC
-
-
(可选)创建标签,结合不同资产类别。
-
-
在 Attack Path Analysis 中,暴露可中断关键运营(例如产品线或数据中心)的易受攻击的网络路径。您可以跟踪 OT 通信路径和未经授权的变更:
-
查看“Attack Path Analysis”仪表盘,获取易受攻击资产的概览视图,例如通向这些关键资产的攻击路径的数量、未解决的结果的数量及其严重性、一个矩阵,用于查看具有不同源节点风险暴露评分和 ACR 目标值组合的路径,以及趋势攻击路径列表。
-
查看主要攻击路径矩阵,然后单击“主要攻击路径”磁贴,查看更多有关“核心资产”或 ACR 为 7 或以上的资产的信息。
如有需要,您可以调整这些设置,以确保查看最关键的攻击路径数据和结果。
-
-
在“结果”页面上,通过将数据与高级图形分析和 MITRE ATT&CK® 框架相结合,查看所有存在于一条或多条通往一个或多个关键资产的攻击路径中的攻击技术,从而生成“结果”,这使您能够理解和应对那些导致并加剧对资产和信息威胁影响的未知因素。
-
在 Mitre Att&ck 热图上,选择 ICS 热图选项以重点关注工业控制系统 (ICS) 策略和技术。
-
在“发现”页面上,生成攻击路径查询,以查看作为潜在攻击路径一部分的资产:
-