管理主动查询

在“主动查询管理”页面上，您可以配置和启用主动查询。作为初始设置的一部分，Tenable 建议激活所有查询功能。您可以随时激活/停用任何查询功能，还可以调整查询执行时间和方式的设置。

除定期运行的自动查询之外，您还可以打开查询卡片中的“启用手动运行”切换开关来按需启动查询。如果禁用“启用手动运行”选项，当您在“资产详细信息”页面（“清单”>“所有资产”）中选择“执行重新同步”时，OT Security 会提示您是否要覆盖该设置。

有关查询技术的更多信息，请参阅“OT Security 技术”。

注意：OT Security 在您禁用查询时可能无法识别资产。OT Security 通过被动监控和主动查询跟踪设备。

提示：要使主动查询能够正常工作，请单击“已启用主动查询引擎”切换开关。启用主动查询后，OT Security 会在标头上显示

，表示查询引擎正在运行。要运行主动查询，您仍必须分别启用每个单独的查询。

“主动查询管理”页面将查询分类为以下类型。每种查询类型都有一个单独的查询选项卡，其中列出了该类型的查询。

OT 查询：旨在使用专有协议安全地轮询控制器和嵌入式设备以获取更多信息的查询。OT Security 执行只读查询来收集设备信息，例如 PLC 运行状态以及其他连接到背板的模块。它会查询正在监听 OT Security 支持的专有协议的设备。查询类型包括识别查询、背板映射、详细信息查询、状态查询和代码快照。
IT 查询：用于从 OT Security 观察到的受监控 IT 类型资产中获取更多数据点的查询。除 NetBIOS 外，这些 IT 类型的查询都需要凭据。
- NetBIOS 查询尝试发现在 OT Security 传感器或 OT Security 本身的广播范围中监听 NetBIOS 的任何设备。此类查询适用于识别附近的 Windows 设备。
- SNMP 查询使用 SNMP v2 或 SNMP v3 凭据请求支持 SNMP 的网络基础设施或联网设备，以获取其识别详细信息。OT Security 查询 SNMP 系统描述和其他参数，以帮助添加资产上下文并协助进行指纹识别。
- WMI 详细信息查询从基于 Windows 的系统中提取各种重要数据点。这要求 OT Security 查询的系统的 Windows 帐户（本地或域）具备足够的权限来轮询 Windows Management Instrumentation (WMI) 服务。
- WMI USB 状态查询确定可移动媒体（如 USB 驱动器或移动硬盘驱动器）是否连接到 Windows 设备，例如工程工作站或服务器。此查询与“Windows 计算机上 USB 配置变更”策略密切相关，因为查询是此策略正常工作的先决条件。
- Nessus 基本扫描会获取系统详细信息，例如 IP 地址、FQDN、操作系统以及开放端口。
- ARP 查询或地址解析协议查询会获取同一广播域内 IP 连接设备的网络接口硬件地址或 MAC 地址。
发现：在 OT Security 监控的网络中检测实时资产的查询。
- 资产发现：利用互联网控制消息协议 (ICMP) 或 Ping 来检测实时和响应 IP 地址。
- 活动资产追踪：定期尝试对已知的、受监控的资产进行 Ping 操作，以确保资产仍然正常运行且可用。
- 控制器发现：会向网络发送一组多播数据包，以促使控制器或 ICS 设备直接向 OT Security 回复信息。
- Ping 查询：发送互联网控制消息协议 (ICMP) Ping 以验证资产是否可访问。
- DNS 查找：获取 DNS 服务器的详细信息。
- 端口映射：获取有关受监控资产上开放端口的详细信息。
初始扩充：基于特定标准或条件的自动 OT Security 查询。每当 Tenable 首次被动或主动观察到一台设备时，就会发生基于资产扩充的查询。借助资产扩充，OT Security 会在设备出现在网络上后立即对设备进行指纹采样和标识。
Nessus 扫描：Tenable Nessus 插件扫描会启动一项高级 Nessus 扫描，该扫描会对 CIDR 和 IP 地址列表中指定的资产执行用户定义的插件列表。有关更多信息，请参阅“创建 Nessus 插件扫描”。

创建自定义查询

每种查询类型都有系统默认的变体，您可以定期或按需运行。您还可以为每种查询创建额外的变体，每个变体有自己单独的配置，以适应不同的项目和功能。

例如，您可以在以下情况下配置自定义查询：

工厂不同部分的维护时间不同。
不同资产的项目和重要性不同。
OT 功能和 IT 功能的查询不同。

若要创建查询变体，请执行以下操作：

转至“主动查询”>“查询管理”。

此时会出现“主动查询管理”页面。
单击所需的查询类型选项卡。

OT Security 会显示查询类型以及可用查询的列表。
在“所需查询类型”部分，单击“创建查询变体”。

此时会出现“创建查询变体”面板。
在“名称”框中，输入查询的名称。
在“资产”下拉框中，选择资产组。

注意：您也可以使用“搜索”框搜索特定组。
要重复查询，请单击“周期性运行”切换开关。

OT Security 会启用“重复频率”部分。
输入一个数字，然后从下拉框中选择“天”或“周”。对于某些查询，您还可以设置“分钟”和“小时”。

如果选择“周”，请指明在一周中的哪天运行查询。
在“精确时间”框中，单击时钟图标并选择时间或手动输入时间，即可设置要运行查询的时间（采用 HH:MM:SS 的格式）。
（仅适用于资产发现）在“IP 范围”框中，输入资产的 IP 地址。
（仅适用于发现查询）在“要同时轮询的资产数”下拉框中，选择资产数量（10、20 或 30）。
（仅适用于发现查询）在“发现查询之间的时间间隔”下拉框中，选择发现查询之间的时间间隔（1 至 3 秒）。
单击“保存”。

OT Security 将查询添加到“自定义变体”表中。

请参阅运行查询变体。

添加限制

您可以阻止查询在特定资产组上运行，例如 IP 范围、OT 服务器、平板电脑、医疗设备、域控制器等。您还可以针对特定协议（客户端）应用限制。

若要添加限制，请执行以下操作：

转至“主动查询”>“查询管理”。

此时会出现“主动查询管理”页面。
单击右上角的“添加限制”。

此时会出现“添加限制”面板。
在“已屏蔽的资产”下拉框中，选择要需要屏蔽的资产组。

注意：您可以使用搜索框搜索特定资产组。
在“已限制的客户端”下拉框中，选择所需的客户端。
在“限制买卖期”下拉框中，选择您希望屏蔽主动查询的时长。可用选项基于计划组。默认选项包括：“无”、“工作时间”。
单击“保存”。

OT Security 对特定客户端和资产组应用限制。每个选项卡的顶部会出现一个横幅，表示已设置限制。

编辑查询变体

若要编辑查询详细信息，请执行以下操作：

转至“主动查询”>“查询管理”。

此时会出现“主动查询管理”窗口。
从查询列表中，选择要编辑的查询并执行下列操作之一：
- 右键点击查询并选择“编辑”。
- 选择查询，然后单击“操作”>“编辑”。
此时会出现“编辑查询”面板。
根据需要修改查询。
单击“保存”。

OT Security 会保存对查询变体的更改。

复制查询变体

转至“主动查询”>“查询管理”。

此时会出现“查询管理”页面。
从查询列表中，选择一个查询以创建副本并执行下列操作之一：
- 右键点击查询并选择“复制”。
- 选择查询，然后单击“操作”>“复制”。
此时会出现“复制查询”面板，其中包含查询的详细信息。
重命名查询并根据需要修改详细信息。
单击“保存”。

OT Security 将查询保存在查询表中。

运行查询变体

您可以在需要时运行主动查询。

若要运行查询，请执行以下操作：

转至“主动查询”>“查询管理”。

此时会出现“查询管理”页面。
从查询列表中，选择要运行的查询并执行下列操作之一：
- 右键点击查询并选择“立即运行”。
- 在“操作”菜单中，单击“立即运行”。
此时会出现一则要求您确认运行查询的消息。
点击“确定”。

OT Security 会运行所选查询。

注意：您可以使用“仍然尝试”选项，在设备或网络上继续进行主动查询，以覆盖对主动查询尝试次数的限制。

下载查询日志

您可以下载查询变体上次运行的日志。您可以使用该日志对主动查询中包含的任何资产或协议的问题进行故障排除。

若要下载上次查询的日志，请执行以下操作：

转至“主动查询”>“查询管理”。

此时会出现“查询管理”窗口。
从查询列表中，选择要下载哪个查询的日志，然后执行下列操作之一：
- 右键单击查询并选择“下载上次运行的日志”。
- 在“操作”菜单中，单击“下载上次运行的日志”。

OT Security 会下载上次主动查询的日志。