主动查询

OT Security 查询窗口方便您配置和激活查询功能。有关查询技术的一般说明,请参阅“OT Security 技术”。作为初始设置的一部分,Tenable 建议激活所有查询功能。您可以随时激活/停用任何查询功能,还可以调整查询执行时间和方式的设置。

除定期运行的自动查询之外,您还可以通过单击查询旁的切换按钮来按需启动查询。

注意:禁用查询可能导致资产保持无法识别的状态。OT Security 通过被动监控和主动查询跟踪设备。

您可以通过“主动查询”>“查询”页面激活和配置查询。系统提供三个以精细方式控制主动查询的选项:“手动”、“定期”和“系统”。

手动:在使用单个资产的“重新同步”选项查看该资产时,此选项可用于控制可执行的查询。手动查询允许您在查看单个受监控资产时,控制特定查询类型的产品功能。启用重新同步选项后,您可以在查看资产时执行这些查询。有关“重新同步”选项的更多信息,请参阅“执行重新同步”。

定期:这是在您设定的固定时间间隔内运行的查询。启用后,查询将根据您在此页面上“重复”列中指定的计划执行。您可以右键点击要运行的定期查询并选择“立即运行”,从而按需运行所有查询。这样做不会影响为下一个查询设置的计划或时间。您手动创建的所有查询都具有周期设置。

系统OT Security 根据特定标准或条件自动处理的查询。例如,每当 Tenable 首次被动或主动观察到一台设备时,就会发生基于资产扩充的查询。借助资产扩充,OT Security 会在设备出现在网络上后立即对设备进行指纹采样和标识。受策略配置控制,资产扩充功能还可以决定在基于控制器的事件发生时是否启用策略触发快照

注意:如果您使用资产扩充功能,请确保启用这些查询:
  • 端口映射 — 持续
  • 识别查询 — 资产扩充

“查询”表格显示以下信息:

描述
启用或禁用切换 点击查询名称旁边的切换开关以启用或禁用查询。
名称 查询的名称。
操作 查询类型:“发现”、“定期”或“系统”查询。
状态 查询的状态:“已创建”、“进行中”、“准备中”、“已完成”和“失败”。
资产

此查询必须轮询的资产组。

注意:您可以构建自己的资产组,以在所配置的查询中使用。

创建查询

您可以为不同的项目和功能创建查询,以控制运行哪个查询以及何时运行。

例如,您可以在以下情况下配置自定义查询:

  • 工厂不同部分的维护时间不同。

  • 不同资产的项目和重要性不同。

  • OT 功能和 IT 功能的查询不同。

若要创建查询,请执行以下操作:

  1. 转至“主动查询”>“查询”。

    此时会出现“查询”窗口。

  2. 点击“创建查询”。

    此时会出现“创建查询”面板。

  3. 从下列一个选项中选择所需的查询类型:

    • 发现:在 OT Security 监控的网络中检测实时资产的查询。

      • 资产发现利用互联网控制消息协议 (ICMP) 或 Ping 来检测实时和响应 IP 地址。

      • 活动资产跟踪会定期尝试对已知的、受监控的资产进行 Ping 操作,以确保资产仍然正常运行且可用。

      • 控制器发现会向网络发送一组多播数据包,以促使控制器或 ICS 设备直接向 OT Security 回复信息。

    • IT:用于从 OT Security 观察到的受监控 IT 类型资产中获取更多数据点的查询。除 NetBIOS 外,这些 IT 类型的查询都需要凭据。

      • NetBIOS 查询尝试发现在 OT Security 传感器OT Security 本身的广播范围中监听 NetBIOS 的任何设备。此类查询适用于识别附近的 Windows 设备。

      • SNMP 查询使用 SNMP v2 或 SNMP v3 凭据请求支持 SNMP 的网络基础架构或联网设备,以获取其识别详细信息。OT Security 查询 SNMP 系统描述和其他参数,以帮助添加资产上下文并协助进行指纹识别。

      • WMI 详细信息查询从基于 Windows 的系统中提取各种重要数据点。这要求被查询系统的 Windows 帐户(本地或域)具备足够的权限来轮询 Windows Management Instrumentation (WMI) 服务。

      • WMI USB 状态查询确定可移动媒体(如 USB 驱动器或移动硬盘驱动器)是否连接到 Windows 设备,例如工程工作站或服务器。此查询与“Windows 计算机上 USB 配置变更”策略密切相关,因为其是此策略正常工作的先决条件。

    • OT:旨在使用专有协议安全地轮询控制器和嵌入式设备以获取更多信息的查询。OT Security 执行只读查询以收集设备信息。在某些情况下, OT Security 不只查询设备识别详细信息,而且可以显示信息,例如 PLC 运行状态或连接到背板的其他模块。OT Security 尝试查询正在监听 OT Security 支持的专有协议的设备。

  4. 单击“下一步”。

    此时会出现“查询定义”面板。

  5. 在“名称”框中,输入查询的名称。

  6. 在“描述”框中,输入对查询的描述。

  7. 在“资产”下拉框中,选择资产。

    注意:您也可以使用“搜索”框搜索特定资产。
  8. 在“重复频率”部分,输入一个数字,然后从下拉框中选择“”或“”。对于某些查询,您还可以设置“分钟”和“小时”。

    如果选择“”,请指明在一周中的哪天运行查询。

  9. 在“精确时间”框中,单击时钟图标并选择时间或手动输入时间,即可设置要运行查询的时间(采用 HH:MM:SS 的格式)。

  10. 点击“查询状态”切换开关以启用查询。

  11. (仅适用于资产发现)在“IP 范围”框中,输入资产的 IP 地址。

  12. (仅适用于发现查询)在“要同时轮询的资产数”下拉框中,选择资产数量。可用的选项包括:“10 项资产”、“20 项资产”或“30 项资产”。

  13. (仅适用于发现查询)在“发现查询之间的时间间隔”下拉框中,选择发现查询之间的时间间隔。可用的选项包括:“1 秒”、“2 秒”或“3 秒”。

添加限制

您可以阻止查询在特定资产上运行,例如 IP 范围、OT 服务器、平板电脑、医疗设备、域控制器等。

若要添加限制,请执行以下操作:

  1. 转至“主动查询”>“查询”。

    此时会出现“查询”窗口。

  2. 在“已屏蔽的资产”下拉框中,选择要需要屏蔽的资产。

    注意:您可以使用搜索框搜索特定资产。
  3. 在“已限制的客户端”下拉框中,选择所需的客户端。

  4. 在“限制买卖期”下拉框中,选择您希望屏蔽资产的时长。可用的选项包括:“”、“工作时间”。

  5. 单击“保存”。

    OT Security 对特定客户端和资产应用限制。

查看查询

若要查看查询的详细信息,请执行以下操作:

  1. 转至“主动查询”>“查询”。

    此时会出现“查询”窗口。

  2. 在要查看的查询所在的行中,执行下列操作之一:

    • 右键点击查询并选择“查看”。

    • 选择查询,然后从“操作”菜单中选择“查看”。

    此时会出现一个窗口,其中包含查询的详细信息。

编辑查询

若要编辑查询详细信息,请执行以下操作:

  1. 转至“主动查询”>“查询”。

    此时会出现“查询”窗口。

  2. 从查询列表中,选择要编辑的查询并执行下列操作之一:

    • 右键点击查询并选择“编辑”。

    • 选择查询,然后从“操作”菜单中选择“编辑”。

    此时会出现“编辑查询”面板。

    注意:您也可以从“查询详细信息”页面编辑查询。
  3. 根据需要修改查询。

  4. 单击“保存”。

复制查询

注意:您只能为定期查询创建重复查询。
  1. 转至“主动查询”>“查询”。

    此时会出现“查询”窗口。

  2. 从查询列表中,选择一个查询以创建副本并执行下列操作之一:

    • 右键点击查询并选择“复制”。

    • 选择查询,然后从“操作”菜单中选择“复制”。

    此时会出现“复制查询”面板,其中包含查询的详细信息。

    注意:您也可以从“查询详细信息”页面创建查询的副本。
  3. 重命名查询并根据需要修改详细信息。

  4. 单击“保存”。

    OT Security 将查询保存在查询表中。

运行查询

您可以在需要时运行定期查询。

注意:“立即运行”选项仅可用于定期查询。

若要运行查询,请执行以下操作:

  1. 转至“主动查询”>“查询”。

    此时会出现“查询”窗口。

  2. 从查询列表中,选择要运行的查询并执行下列操作之一:

    • 右键点击查询并选择“立即运行”。

    • 选择查询,然后从“操作”菜单中选择“立即运行”。

    此时会出现一则要求您确认运行查询的消息。

  3. 点击“确定”。

    OT Security 会运行所选查询。