组是用于构建策略的基本构建块。配置策略时,您可以使用组而不是单个实体来设置每个策略条件。OT Security 提供一些预定义的组。您也可以创建自己的用户定义组。因此,为了简化策略的编辑和创建过程,Tenable 建议提前配置所需组。

注意:您只能使用“组”设置策略参数。即使希望将某个策略应用于单个实体,也必须配置仅包含该实体的组。

查看组

要查看组:

  1. 在左侧导航栏中,单击“”。

    ”部分随即展开,并显示组类型。

在“”下,您可以查看系统中已配置的所有组。组分为以下两类:

  • 预定义的组:经过预先配置,无法编辑。

  • 用户定义的组:您可以创建和编辑这些组。

存在多种不同类型的组,每种类型均可用于配置各种策略类型。每个组类型都显示在“组”下的单独屏幕上。组类型包括:

  • 资产组:资产是网络中的硬件实体。资产组可用作多种策略类型的策略条件。

  • 网段:网段是一种用于创建相关网络资产组的方法,以帮助在逻辑上将一个资产组与另一个资产组隔离。

  • 电子邮件组:发生策略事件时收到通知的电子邮件组。适用于所有策略类型。

  • 端口组:网络中的资产使用的端口组。用于识别已打开的端口的策略。

  • 协议组:在网络中的资产之间进行对话所依据的协议组。用作网络事件的策略条件。

  • 计划组:计划组定义的是用于配置指定事件必须在什么时间发生才能满足策略条件的时间范围。

  • 标签组:标签是控制器中包含特定操作数据的参数。标签组可用作 SCADA 事件的策略条件。

  • 规则组:规则组由一组相关的规则组成,可以通过其 Suricata 签名 ID (SID) 进行标识。这些组可以用作定义入侵检测策略的策略条件。

以下各节说明了创建每种类型的组的过程。此外,您还可以查看、编辑、复制或删除现有组,详情请参阅“组操作”。

资产组

资产是网络中的硬件实体。将类似的资产划分为同组有助于创建应用于组内所有资产的策略。例如,可以使用资产组“控制器”创建策略,以针对任何控制器的固件变更发出警报。资产组可用作多种策略类型的策略条件。资产组可用于指定各种策略类型的“源”资产、“目标”资产或“受影响的资产”。

网段

借助网段,您可以创建相关网络资产组,从而在逻辑上将一个资产组与另一个资产组隔离。OT Security 会自动将与网络中某项资产关联的每个 IP 地址分配给一个网段。对于具有多个 IP 地址的资产,每个 IP 都与一个网段相关联。每个自动生成的段都包括具有相同 C 类网络地址(即 IP 具有相同的前 24 位)IP 的特定类别(控制器、OT 服务器、网络设备等)的所有资产。

可以创建用户定义的网段,并指定将哪些资产分配给该段。“清单”屏幕上某一列会显示每项资产的网段,便于轻松按照网段对资产进行排序和筛选。

电子邮件组

电子邮件组是相关方的电子邮件组。电子邮件组用于指定由特定策略触发的事件通知的收件人。例如,按角色、部门等分组便于将特定策略事件的通知发送给相关方。

端口组

端口组是网络中的资产使用的端口组。端口组用作定义“已打开的端口”网络事件策略的策略条件,可检测网络中的已打开的端口。

预定义”选项卡可显示系统中预定义的端口组。这些组包含预期在特定供应商的控制器上开放的端口。例如,Group Siemens PLC 已打开的端口包括:20、21、80、102、443 和 502。这可配置用于检测预期不会针对该供应商的控制器开放的已打开的端口的策略。这些组无法编辑或删除,但可以复制。

用户定义”选项卡包含用户创建的自定义组。您可以编辑、复制或删除这些组。

协议组

协议组是在网络中的资产之间进行对话所依据的一组协议。协议组用作网络策略的策略条件,可以定义特定资产之间使用哪项协议触发策略。

OT Security 随附了一组包含相关协议的预定义协议组。这些组可用于策略。您无法编辑或删除这些组。您可以按照特定供应商允许的协议对协议进行分组。

例如,Schneider 允许的协议包括:TCP:80 (HTTP)、TCP:21 (FTP)、Modbus、Modbus_UMAS、Modbus_MODICON、TCP:44818 (CIP)、UDP:69 (TFTP)、UDP:161 (SNMP)、UDP :162 (SNMP)、UDP:44818、UDP:67-68 (DHCP)。您也可以按照协议类型(如 Modbus、PROFINET、CIP 等)对其进行分组。您还可以创建专属的用户定义的协议组。

计划组

计划组定义了一个或一组时间范围,这些时间范围组具有特定特征,使得在该时间期间发生的活动值得关注。例如,某些活动预计在工作时间内发生,而其他活动预计在停机时间发生。

标签组

标签是包含特定操作数据的控制器中的参数。标签组可用作 SCADA 事件策略的策略条件。通过将角色相似的标签分为同组,您可以创建策略来检测对指定参数的可疑更改。例如,通过将控制熔炉温度的标签分为同组,可以创建一个策略来检测可能对熔炉造成危害的温度变化。

规则组

规则组由一组相关的规则组成,可以通过其 Suricata 签名 ID (SID) 进行标识。这些组可以用作定义入侵检测策略的策略条件。

OT Security 可以提供一系列包含相关漏洞的预定义组。此外,您可以从我们的漏洞库中选择各个规则并创建自己的自定义规则组。

组操作

当您在任何“组”屏幕上选择某个组时,您可在屏幕顶部的“操作”菜单中执行以下操作:

  • 查看:显示所选组的详细信息,例如该组中包含哪些实体,以及哪些策略使用该组作为策略条件。请参阅“查看组的详细信息

  • 编辑:编辑组的详细信息。请参阅“编辑组

  • 复制:使用与指定组类似的配置创建新组。请参阅“复制组

  • 删除:从系统中删除组。请参阅“删除组

    注意:您无法编辑或删除预定义的组。某些预定义的组也无法复制。您也可通过右键单击“组”来访问“操作”菜单。