环境设置

网络定义

网络定义”页面包含以下部分:

受监控网络

“受监控网络”配置包含一组 IP 范围(CIDR/子网),用于定义 OT Security 的监控边界。OT Security 会忽略配置范围之外的资产。

默认情况下,OT Security 会配置三个默认公共范围:10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16,以及链接本地范围 169.254.0.0/16 (APIPA)。

要禁用任何默认范围或添加适合您网络的范围,请执行以下操作:

  1. 转至“设置”>“环境设置”>“网络定义”。

    此时会出现“网络定义”页面。

  2. 在“受监控的网络”部分,单击“编辑”。

    此时会出现“受监控的网络”面板。

  3. 在指定的文本框中选择所需的“默认 IP 范围”和/或添加“其他 IP 范围”(每行一个 IP 范围)。

  4. 单击“保存”。

    OT Security 会保存受监控的网络配置。

重复的内部网络

将 IP 地址分配给多个设备时,会发生 IP 范围重叠。重叠的 IP 范围在制造环境中很常见,这给准确识别和跟踪资产带来了挑战,进而会造成可见性缺口、资产关联错误等问题。您可以定义 OT Security 的重叠网络,以便即使在不同网段中重复使用 IP 地址时,也能准确跟踪资产。

注意:如果传感器和另一个源(例如另一个传感器或本地 ICP)同时检测到重复网络中的资产,OT Security 接口会将其合并为单个资产。但是,统计许可数量时,系统会将其视为两个资产。为防止此问题,Tenable 建议调整重复的网络范围以排除此类资产。

添加重复网络

开始之前

  • 确保您已配对经过身份验证的传感器。

    注意OT Security 不支持在未经身份验证的传感器上使用重复网络。

如要在环境中定义重复网络,请执行以下操作:

  1. 转至“设置”>“环境设置”>“网络定义”。

    此时会出现“网络定义”页面。

  2. 在“重复的内部网络”部分,单击“添加网络”。

    此时会出现“添加重复的网络”面板,其中包含网络详细信息

    注意OT Security 使用 240.0.0.0/4 IP 范围作为将 IP 地址映射到 NAT IP 分配的内部保留池。要更改此保留池范围,请联系 Tenable 支持部门。

  3. 在“重复的 IP 范围”框中,以 CIDR 格式输入 IP 范围,例如,192.168.0.0/24。

  4. 从“重复项(传感器)”下拉框中,选择与重复的 IP 范围关联的传感器。

  5. 单击“下一步”。

    此时会出现“确认”面板。

  6. (可选)选中“删除资产”复选框。

    提示:要将所有所选资产分离到各自的网络中,Tenable 建议您允许 OT Security 删除资产并在启动后重新发现它们。如果您未选中“删除资产”复选框,资产将保留在当前的 IP 范围内,这可能会导致不一致或出现意外行为。

  7. 单击“保存”。

    OT Security 会保存重复的 IP 范围,相关范围会显示在“重复的内部网络”表中。

    重要说明:完成配置重复的网络后,Tenable 建议您重新启动 OT Security,然后再启用传感器。

  8. 重新启动 OT Security

  9. 要启用传感器,请转至“本地设置”>“传感器”:

    注意:主动查询的 IP 范围 (CIDR) 是您在“重复的内部网络”设置中配置的范围。

    1. 请执行下列操作之一:

      • 单个传感器:右键单击传感器,然后单击“编辑”。在“编辑传感器”面板中,单击“传感器主动查询”切换开关以启用主动查询。

      • 多个传感器:选择所有需要的传感器。在标题中,选择“批量操作”>“启用主动查询”。

    2. 右键单击传感器,将状态从“已暂停”更改为“已连接”以将其激活。

后续步骤

配置重复的网络并重新启动 OT Security 之后,资产在“所有资产”表中以其实际 IP 显示。此外,在输入分配给重复网络的 IP 时,必须选择相应的传感器。例如:在“主动查询”>“发现/Nessus 扫描”>“创建扫描”中,或在“凭据”>“测试凭据”中:

  • 在“清单”>“所有资产”中,查看“所有资产”表中的实际 IP 地址和资产来源。例如,两个共用同一 IP 地址但与不同传感器关联的资产。

  • 在“主动查询”>“查询管理”>“发现”或“Nessus 扫描”>“创建扫描”中,配置涉及重复网络的主动查询时,请选择该 IP 范围的“相关传感器”。这允许您运行与特定传感器关联的资产的查询,同时排除其他传感器。

    注意OT Security 仅针对重复的网络中的 IP 范围启用“相关传感器”框。此项对所有其他 IP 范围保持禁用状态。

  • 在“主动查询”>“凭据”>“测试凭据”中配置凭据时,如果您输入了重复网络中的 IP 范围,则还必须在“重复项(传感器)”框中选择关联的传感器。

  • 要为属于重复网络的资产创建资产组,请使用“资产选择”选项,并根据“资产”表中的“来源”列识别特定 IP。

“重复的内部网络”表显示以下详细信息:

描述
CIDR 重复的网络 IP 范围。
传感器 与重复的网络 IP 范围关联的传感器。
正在使用 - 发现查询 指示 CIDR 是否正在至少一个资产发现(主动查询)中使用。如果是,请移除 CIDR 主动发现,然后再删除包含该 CIDR 的重复网络。
正在使用 - Nessus 扫描 指示 CIDR 是否正在至少一个 Nessus 扫描中使用。如果是,请从 Nessus 扫描中移除 CIDR,然后再删除包含该 CIDR 的重复网络。

对重复的内部网络的操作

如要编辑重复的网络,请执行以下操作:

  1. 在“重复的内部网络”部分,选择要修改的重复网络。

  2. 请执行下列操作之一:

    • 右键单击重复的网络并选择“编辑”。

    • 在该部分的右上角,选择“操作”>“编辑”。

      此时会出现“编辑重复的网络”面板,其中包含所选重复网络的详细信息。

  3. 根据需要修改值。

  4. 单击“下一步”。

  5. 在“确认”面板中,单击“保存”。

    OT Security 会保存对重复的网络所做的更改。

可以删除不再需要的重复网络。

如要删除重复的网络,请执行以下操作:

  1. 在“重复的内部网络”部分,选择要删除的重复网络。

  2. 请执行下列操作之一:

    • 右键单击重复的网络并选择“删除”。

    • 在该部分的右上角,选择“操作”>“删除”。

OT Security 会删除重复的网络。

  1. 从 Nessus 扫描/主动发现中移除 CIDR。

  2. 从重复的网络设置配置中删除传感器。

  3. 如需替换,请使用 API 设置新的传感器 ID 并替换旧的传感器。

  4. 在“传感器”页面中,删除旧的传感器。

通过 SNMP 发现新资产

若启用“通过 SNMP 发现新资产”选项,OT Security 会将 SNMP 查询发现的资产添加到资产清单中。

获取 IoT 资产的 IP 地址

默认情况下,从 IoT 连接器导入资产时,OT Security 会导入设备的 IP 地址和 MAC 地址。要仅导入 MAC 地址,请禁用“获取 IoT 资产的 IP 地址”选项。有关更多信息,请参阅“管理 IoT 连接器”。

事件群集

为了便于监控事件,具有相同特性的多个事件会划分到一个群集中。群集基于事件类型(即共享相同策略的事件)、源和目标资产等。

必须在以下已配置时间间隔内生成要划分到一个群集的事件:

  • 连续事件之间的最长时间间隔:设置事件之间的最长时间间隔。如果超过此时间,连续事件则不会划分到一个群集中。

  • 第一个和最后一个事件之间的最长时间间隔:设置所有事件显示为一个群集的最长时间间隔。在此时间间隔之后生成的事件将不是群集的一部分。

若要启用群集,请执行以下操作:

  1. 此时会出现“事件群集”页面。

  2. 转至“设置”>“环境设置”>“事件群集”。

    此时会出现“事件群集”页面。

  3. 单击切换开关以启用所需的群集类别。

  4. 如要配置某个类别的时间间隔,请单击“编辑”。

    此时会出现“编辑配置”窗口。

  5. 在数字框中输入所需的数值,并使用下拉框选择时间单位。

    注意:有关群集和时间间隔的更多信息,请单击 按钮。

  6. 单击“保存”。