网络映射

网络映射”屏幕提供了 OT Security 的网络检测功能发现的网络资产及其连接随时间推移的可视化表示。网络检测可对通过运营网络执行的所有活动提供深入实时可见性,并且侧重于控制平面工程活动。例如,通过供应商特定的专有协议执行的固件下载或上传、代码更新和配置更改。网络映射可按相关资产组显示资产,也显示单个资产。

网络映射”显示在指定时间范围内 Tenable 发现的所有资产和连接。

网络映射”页面显示以下详细信息:

  • 搜索框:输入搜索文本以搜索显示中的资产。“网络映射”通过突出显示与搜索文本匹配的所有组来显示搜索结果。您可以深入了解每个组以查看相关资产。

  • 筛选条件:可以按一个或多个指定类别筛选映射显示:“资产类型”、“供应商”、“系列”、“风险级别”、“普渡层”。如要获取有关资产类型的说明,请参阅“资产类型”。

  • 时间范围:“网络映射”显示在指定时间范围内检测到的资产和网络连接。默认时间范围设置为“过去 30 天”。在“时间范围”下拉框中,选择其他时间范围。

  • 分组:可以指定在显示中按照哪个类别对资产进行分组。选项包括“资产类型”、“普渡层”、“风险级别”或“无分组”。“折叠所有组”选项可保留当前分组选项,但折叠所有其他已打开的组。

  • 操作:可以从下拉菜单中选择以下操作:

    • 设置为基线:设置用于检测异常网络活动的基线,详情请参阅“设置网络基线”。

    • 自动排列:自动优化当前所示实体的映射显示。

  • 组/资产 :每组资产在映射上以一个图标表示,每种资产类型由不同的图标表示。如“资产类型”中所述。对于组而言,图标顶部的数字表示该组中包含的资产数量。可以进一步显示每个子组的单独图标,直到找到各个资产图标。对于单个资产,资产周围的边框颜色表示其风险级别(红、黄、绿)。

    注意:您可以拖动组和资产并重新排位,以便更好地查看资产及其连接。
  • 连接:资产组和/或单个资产之间的每次通信,基于映射中当前显示的粒度。线条粗细表示通过该连接进行的通信量。

  • 显示的资产总数:根据指定时间范围和资产筛选条件,显示在网络中检测到的资产数量(并在映射中显示)。此数字是相对在网络中检测到的资产总数显示的。

  • 导航控件:您可以使用屏幕控件或标准鼠标控件放大和缩小显示内容,并进行导航以显示所需元素。

资产分组

网络映射”页面可以显示按各种类别分组的资产。该页面会显示资产组之间的连接。您可以单击资产,以深入了解该组中的元素。您还可以同时深入了解多个组。OT Security 包含多个嵌入式组,因此您可通过深入了解来获得包含资产的更精细视图。

以下是可应用到主显示的分组以及该选项的深入了解选项。

当映射显示按“资产类型”(默认)显示分组时,深入了解的层次结构如下:“资产类型”>“供应商”>“系列”>“单个资产”。

当映射显示按“风险级别”或“普渡层”显示分组时,这会在“资产类型”分组之上添加一个额外的级别,因此层次结构为:“普渡层/风险级别”>“资产类型”>“供应商”>“系列”>“单个资产”。每个级别都由包含的组/资产周围的圆圈表示。

以下示例显示了如何深入了解显示内容:

若要深入了解资产类型组,请执行以下操作:

  1. 默认情况下,“网络映射”屏幕会显示按“资产类型”分组的资产。

  2. 双击您要深入了解的组图标(例如“控制器”)。

    该组已展开,显示该组中的“供应商”组。

  3. 若要深入了解,请单击“供应商”组(例如 Rockwell)。

  4. 若要深入了解,请单击“系列”组(例如 SLC5)。

    此时会显示该组内的各个资产。

  5. 现在可以单击特定资产以查看该资产及其连接的详细信息,详情请参阅“资产”。

若要折叠显示内容,请执行以下操作:

  1. 单击“分组依据”。

  2. 单击“折叠所有组”。

    此时显示内容再次显示顶级组。

若要删除所有分组,请执行以下操作:

  1. 单击“分组依据”按钮。

  2. 选择“无分组”。

    此时映射会显示不含任何分组的所有单一资产。

对映射显示应用筛选条件

您可以按一个或多个指定类别筛选映射显示:“资产类型”、“供应商”、“系列”、“风险级别”、“普渡层”。

若要对映射应用筛选条件,请执行以下操作:

  1. 单击所需的筛选条件类别。

  2. 选中或取消选中要在显示内容中包括或排除的每个元素的复选框。

    注意:默认情况下,筛选条件包含所有元素。

  3. 您可以单击“全选”复选框以清除所有值,然后添加所需值。

  4. 可以在筛选搜索框中执行搜索,以在筛选窗口中查找特定值。

  5. 根据需要,对每个筛选器类别重复此过程。

  6. 单击“应用”。

    映射仅显示所选元素。

查看资产详细信息

单击特定资产可显示与该资产及其网络活动有关的基本信息,其中包括“风险级别”、“IP 地址”、“资产类型”、“供应商”和“系列”。“映射”显示从所选资产到与之通信的所有其他资产的连接。然后,您可以单击资产名称中的链接,以转到“资产详细信息”屏幕,该屏幕显示有关资产的更多详细信息。

设置网络基线

网络基线是指定时间段内网络中的资产之间发生的所有对话的映射。网络基线偏差策略使用网络基线针对网络中的异常对话发出警报,详情请参阅“网络事件类型”。

在基线示例期间未发生交互的资产会针对每个对会触发策略警报(假设对话在指定策略条件范围内)。您必须在“网络映射”屏幕上创建初始网络基线,才能创建网络基线偏差策略。您可以通过设置新的网络基线来随时更新网络基线。

若要设置网络基线,请执行以下操作:

  1. 在“网络映射”屏幕上,使用屏幕顶部的“时间范围选择”来选择要包括在网络基线中的对话时间范围。

    此时会显示所选时间范围的“网络映射”。

  2. 在右上角选择“操作”>“设置为基线”。

    OT Security 会配置新的网络基线,并将其应用于所有网络基线偏差策略。