OT 代理

OT 代理是可安装的软件组件,您可将其部署在远程 Windows 计算机上,以便在无法或难以安装传统传感器的环境中主动扫描和发现 OT Security 资产。OT 代理使用主动查询来扫描“受监控网络”下列出的重复和主动查询网络。这使得在基于 Windows 的网关、工程工作站或人机接口 (HMI) 上运行的代理能够识别网络上的关键 OT/IoT 和嵌入式设备。

OT 代理发现的每项 OT 资产都会将此特定代理关联为发现来源。这为网络内的资产识别提供了可追溯性。

如要扫描网络,请首先安装并配置 OT 代理。以下部分介绍了如何使用 OT 代理安装、配置和运行扫描。

  1. 下载 OT 代理

  2. 安装 OT 代理

  3. 配置 OT 代理

  4. 运行扫描

安装 OT 代理

所需的 OT Security 角色:管理员

在 Windows 计算机上安装 OT 代理以扫描 OT 环境。

开始之前

  • Tenable 下载门户下载 OT 代理。

  • 确保您在 Windows 计算机上具有管理员权限。

注意:用于配对和连接的默认端口分别为 443 和 28306。有关端口的信息,请参阅“防火墙注意事项

安装 OT 代理的步骤:

  1. 将安装文件 (Tenable-OT-Agent-version.msi) 传输到 Windows 计算机。

  2. 单击 .msi 安装文件,打开安装向导。

  3. 在“OT-代理安装向导”窗口中,点击“下一步”。

    此时会出现“输入 ICP 详细信息”窗口。

  4. 选择下列操作之一:

    • 这是默认选项。如果选择了此选项,请执行以下步骤:

      1. OT Security 中,前往“数据收集”>“数据源”。

        此时会出现“数据源”页面。

      2. 点击“代理”选项卡。

        代理”页面随即打开。

      3. 点击右上角的“生成配对密钥”。

        此时会出现“生成代理配对密钥”面板。

      4. 在“ICP IP/主机”框中,提供 ICP 的 IP 地址或主机名。

      5. 在“有效期”下拉框中,可保留默认的 90 天,或指定密钥在多少天后到期。

      6. 在“描述”框中,提供对密钥的描述。

      7. 单击“下一步”。

        OT Security 生成配对密钥。

      8. 单击 按钮以复制配对密钥。

      9. 点击“完成”。

        OT Security 会关闭面板。

      10. 导航回 Windows 主机。

      11. 在“配对密钥”框中,粘贴从 ICP 复制的配对密钥。

    • 如果选择此选项,系统会显示相关字段,您可以在其中提供 ICP 所需的详细信息。

      1. 在“ICP 地址”框中,输入 ICP 的 IP 地址。

      2. 在“ICP 用户名”框中,输入 ICP 计算机的名称。

      3. 在“ICP 密码”框中,输入 ICP 计算机的密码。

      4. 在“API 密钥”框中,提供从 ICP 生成的 API 密钥。请参阅“生成 API 密钥”。

      5. 在“证书指纹”框中,提供从 ICP 生成的指纹。请参阅“证书”。

    注意:只有配对过程才需要配对密钥和证书。配对完成后,您可根据需要删除配对密钥和证书。

  5. 单击“下一步”。

    系统会显示“目标文件夹”窗口。

  6. 在“将 OT-代理安装到以下位置”框中,保留默认目标位置或提供安装 OT 代理的路径,然后点击“下一步”。

  7. 单击“安装”。

    安装程序会安装 OT 代理,并在 OT Security 中的“代理”选项卡上将其列为“待配置”状态。

  8. 单击“完成”关闭安装程序。

    注意:如果配对出现问题,您可以使用 OT 代理安装向导中的“修复”选项,再次提供配对详情。

  9. 如要自动批准配对请求,请点击以启用自动批准代理配对请求功能。

    如果未启用此选项,请执行以下操作:

    • 右键单击新添加的 OT 代理。

      此时会出现菜单。

    • 选中“OT 代理”旁的复选框。

      OT Security 启用“操作”>“批准”菜单。

  10. 点击“批准”。

    OT Security 批准代理配对并将状态更改为“待配置”。

    注意:在运行 OT 代理之前,即使已启用“自动批准代理配对请求”选项,也请确保相应配置已完成。

后续操作

配置 OT 代理

配置 OT 代理

所需的 OT Security 角色:管理员

安装 OT 代理后,对其进行配置以定义其名称、指定其扫描的网络并设置主动查询计划。

开始之前

  • 安装 OT 代理。

配置 OT 代理的步骤:

  1. 在“代理”选项卡中,执行下列操作之一:

    • 右键单击新添加的 OT 代理。

      此时会出现菜单。

    • 选中“OT 代理”旁的复选框。

      OT Security 启用“操作”>“配置”菜单。

  2. 单击“配置”。

    此时会出现“配置代理”面板。

  3. 在“名称”框中,输入代理名称。

  4. 在“主动查询”框中,提供要扫描的网络的 IP 地址。

    注意:OT 代理仅扫描属于受监控网络的主动查询网络 IP 地址(“环境设置”>“网络定义”>“受监控网络”)。

  5. (可选)要启用计划扫描,请点击“运行计划扫描”切换开关。

    OT Security 会启用“重复间隔”下拉框。

  6. (可选)根据需要指定分钟、小时、天或周。

  7. 在“凭据”框中,从下拉列表中选择所需凭据。

    注意:您在“主动查询”>“凭据”中创建的凭据会在下拉列表中显示。有关更多信息,请参阅“凭据”。

  8. 单击“保存”。

    OT Security 将 OT 代理的状态更新为“已连接”。

后续操作

运行扫描

使用 OT 代理运行扫描

所需的 OT Security 角色:管理员

当您启动代理扫描后,它会触发以下主动查询:

  • 发现:检测受监控网络中的实时资产。

  • 开放端口检查:扫描活动查询客户端最常用的端口。

  • 初始扩充:使用动态指纹识别引擎 (DFE) 识别新发现的资产。

  • OT 查询:收集设备信息,例如 PLC 运行状态以及其他连接到背板的模块。

  • IT 查询:从 OT Security 监控的 IT 设备中获取数据。

有关更多信息,请参阅“管理主动查询”。

要运行代理扫描,请执行以下操作:

  1. 在“数据源”>“代理”选项卡中,执行下列操作之一:

    • 右键单击新添加的 OT 代理。

      此时会出现菜单。

    • 选中“OT 代理”旁的复选框。

      OT Security 启用“操作”>“立即扫描”菜单。

  2. 单击“立即扫描”。

    OT Security 将代理状态更改为“正在扫描”并开始扫描指定的网络。OT Security 完成扫描后,您可以点击“代理”表格中“已报告资产”列中的资产数量链接,在“清单”页面中查看筛选结果。

删除 OT 代理

所需的 OT Security 角色:管理员

若从 Windows 计算机卸载 OT 代理,则 OT Security 中的代理状态将更改为“已断开连接”。

删除 OT 代理的步骤:

  1. 在 Windows 计算机中,打开安装程序,然后单击“删除”。

  2. 按照向导中的步骤卸载代理。

    已从 Windows 计算机中卸载 OT 代理。

  3. OT Security 中导航至“数据源”>“代理”选项卡。

    OT Security 将代理的状态更新为“已断开连接”。

  4. 请执行下列操作之一:

    • 右键单击新添加的 OT 代理。

      此时会出现菜单。

    • 选中“OT 代理”旁的复选框。

      OT Security 激活“操作”>“删除”菜单。

  5. 单击“删除”。

    OT Security 删除 OT 代理。

    注意:如果存在关联的重复网络,您必须先将其删除,然后才能删除代理。

使用 CLI 安装 OT 代理

所需的 OT Security 角色:管理员

您可以使用 CLI 命令来安装带有配对密钥、ICP 凭据或 API 密钥的 OT 代理。您也可以通过 CLI 卸载 OT 代理。

开始之前

  • Tenable 下载门户下载 OT 代理安装程序。

要通过配对密钥安装 OT 代理,请运行以下命令:

复制 
msiexec.exe /i "<OtAgentInstaller.msi>" /qn PAIRING_KEY="<PairingKey>"

其中:

  • OtAgentInstaller.msi 是安装文件。

  • PairingKey 是您通过 OT Security 中的“数据收集”>“数据源”>“代理”选项卡生成的密钥。

示例:

复制 
msiexec.exe /i "OtAgentInstaller.msi" /qn PAIRING_KEY="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxoxxxxxxxxxxxx"

要通过用户名和密码安装 OT 代理,请运行以下命令:

复制 
msiexec.exe /i "<OtAgentInstaller.msi>" /qn ICP_ADDRESS="<IpAddress>" ICP_USERNAME="<Username>" ICP_PASSWORD="<Password>" ICP_FINGERPRINT="<CertFingerprint>"

其中:

  • OtAgentInstaller.msi 是安装文件。

  • IpAddress 是 ICP 的 IP 地址。

  • Username 是用于登录 ICP 的用户名。

  • Password 是 ICP 密码。

  • CertFingerprint 是您在 OT Security 中生成的证书。

示例:

复制 
msiexec.exe /i "OtAgentInstaller.msi" /qn ICP_ADDRESS="XX.XXX.XX.XX" ICP_USERNAME="admin" ICP_PASSWORD="xxxxxxx" ICP_FINGERPRINT="XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX"

要通过 API 密钥安装,请运行以下命令:

复制 
msiexec.exe /i "<OtAgentInstaller.msi>" /qn ICP_ADDRESS="<IpAddress>" ICP_APIKEY="<APIKey>" ICP_FINGERPRINT="<CertFingerprint>"

(可选参数)INSTALLBASE='"<FullDirPath>"'

其中:

  • OtAgentInstaller.msi 是安装文件。

  • IpAddress 是 ICP 的 IP 地址。

  • APIKey 是从 ICP 生成的 API 密钥。

  • CertFingerprint 是从 ICP 生成的证书。

  • FullDirPath 是安装目录的路径。

示例 1:

复制 
msiexec.exe /i "OtAgentInstaller.msi" /qn ICP_ADDRESS="XX.XXX.XX.XX" ICP_APIKEY="kxxxxxxxxxxxxxxxxx_xxxxxxxx=" ICP_FINGERPRINT="XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

示例 2:使用 INSTALLBASE 参数:

复制 
msiexec.exe /i "OtAgentInstaller.msi" /qn ICP_ADDRESS="xx.xxx.xx.xx" ICP_APIKEY="xxxxxxxxxxxxxxx_xxxxxxxxxxx=" ICP_FINGERPRINT="XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX" INSTALLBASE='"C:\Program Files\AAA"'

要卸载 OT 代理,请运行以下命令:

复制 
msiexec.exe /x "<OtAgentInstaller.msi>" /qn

其中:

  • OtAgentInstaller.msi 是安装文件。