OT 代理

OT 代理是您可将其安装在远程 Windows 计算机上的软件组件,以便在无法或难以安装传感器的环境中主动查询和发现 OT Security 资产。OT 代理使用主动查询来扫描“受监控网络”下列出的重复和主动查询网络。这使得在基于 Windows 的网关、工程工作站或人机接口 (HMI) 上运行的代理能够识别网络上的关键 OT/IoT 和嵌入式设备。

OT 代理发现的每项 OT 资产都会将此特定代理关联为发现来源。这为网络内的资产识别提供了可追溯性。

如要扫描网络,请首先安装并配置 OT 代理。以下部分介绍了如何使用 OT 代理安装、配置和运行扫描。

  1. 下载 OT 代理

  2. 安装 OT 代理

  3. 配置 OT 代理

  4. 运行扫描

查看 OT 代理

OT 代理”页面充当中心枢纽,可对您为了监控网络而部署的代理进行监控和配置。

要访问“OT 代理”页面,请执行以下操作:

  1. 在左侧导航菜单中,单击“数据收集”>“数据源”。

    此时会出现“数据源”页面。

  2. 点击“代理”选项卡。

    此时会出现“代理”页面,并显示已部署的 OT 代理的列表。

    代理”页面包含以下详细信息:

    参数 描述
    IP/主机名 已安装 OT 代理的计算机的 IPv4 地址。
    状态

    代理的状态:

    • 已连接

    • 已暂停

    • 已断开连接

    • 待配置

    • 待批准

    • 正在准备连接

    • 正在等待连接

    • 正在更新

    • 正在扫描

    上次扫描结果 上次扫描的状态:“已完成”或“失败”。
    主动查询网络 OT 代理在当前扫描中瞄准的特定网段。
    代理名称 分配给 OT 代理的唯一名称。
    主机资产 指向主机资产的详细信息页面的直接链接。
    扫描计划 配置的扫描频率。如果没有计划,该列显示为“已禁用”。
    上次扫描时间 最近一次启动扫描的日期和时间。
    上次扫描时长 上次完成扫描所用的时间。
    凭据 代理用于扫描设备的凭据。
    报告的资产 在扫描中检测到的资产数量。
    代理版本 OT 代理的版本。
    OTD 版本 OT Discovery 引擎的版本。
    主机操作系统 主机上的操作系统。

安装 OT 代理

所需的 OT Security 角色:管理员

在 Windows 计算机上安装 OT 代理以扫描 OT 环境。

开始之前

  • Tenable 下载门户下载 OT 代理。

  • 确保您在 Windows 计算机上具有管理员权限。

注意:用于配对和连接的默认端口分别为 443 和 28306。有关端口的信息,请参阅“防火墙注意事项

安装 OT 代理的步骤:

  1. 将安装文件 (Tenable-OT-Agent-version.msi) 传输到 Windows 计算机。

  2. 单击 .msi 安装文件,打开安装向导。

  3. 在“OT-代理安装向导”窗口中,点击“下一步”。

    此时会出现“输入 ICP 详细信息”窗口。

  4. 选择下列操作之一:

    • 这是默认选项。如果选择了此选项,请执行以下步骤:

      1. OT Security 中,前往“数据收集”>“数据源”。

        此时会出现“数据源”页面。

      2. 点击“代理”选项卡。

        代理”页面随即打开。

      3. 点击右上角的“生成配对密钥”。

        此时会出现“生成代理配对密钥”面板。

      4. 在“ICP IP/主机”框中,提供 ICP 的 IP 地址或主机名。

      5. 在“有效期”下拉框中,可保留默认的 90 天,或指定密钥在多少天后到期。

      6. 在“描述”框中,提供对密钥的描述。

      7. 单击“下一步”。

        OT Security 生成配对密钥。

      8. 单击 按钮以复制配对密钥。

      9. 点击“完成”。

        OT Security 会关闭面板。

      10. 导航回 Windows 主机。

      11. 在“配对密钥”框中,粘贴从 ICP 复制的配对密钥。

    • 如果选择此选项,系统会显示相关字段,您可以在其中提供 ICP 所需的详细信息。

      1. 在“ICP 地址”框中,输入 ICP 的 IP 地址。

      2. 在“ICP 用户名”框中,输入 ICP 计算机的名称。

      3. 在“ICP 密码”框中,输入 ICP 计算机的密码。

      4. 在“API 密钥”框中,提供从 ICP 生成的 API 密钥。请参阅“生成 API 密钥”。

      5. 在“证书指纹”框中,提供从 ICP 生成的指纹。请参阅“证书”。

    注意:只有配对过程才需要配对密钥和证书。配对完成后,您可根据需要删除配对密钥和证书。

  5. 单击“下一步”。

    系统会显示“目标文件夹”窗口。

  6. 在“将 OT-代理安装到以下位置”框中,保留默认目标位置或提供安装 OT 代理的路径,然后点击“下一步”。

  7. 单击“安装”。

    安装程序会安装 OT 代理,并在 OT Security 中的“代理”选项卡上将其列为“待配置”状态。

  8. 单击“完成”关闭安装程序。

    注意:如果配对出现问题,您可以使用 OT 代理安装向导中的“修复”选项,再次提供配对详情。

  9. 如要自动批准配对请求,请点击以启用自动批准代理配对请求功能。

    如果未启用此选项,请执行以下操作:

    • 右键单击新添加的 OT 代理。

      此时会出现菜单。

    • 选中“OT 代理”旁的复选框。

      OT Security 启用“操作”>“批准”菜单。

  10. 点击“批准”。

    OT Security 批准代理配对并将状态更改为“待配置”。

    注意:在运行 OT 代理之前,即使已启用“自动批准代理配对请求”选项,也请确保相应配置已完成。

后续操作

配置 OT 代理

配置 OT 代理

所需的 OT Security 角色:管理员

安装 OT 代理后,对其进行配置以定义其名称、指定其扫描的网络并设置主动查询计划。

开始之前

  • 安装 OT 代理。

配置 OT 代理的步骤:

  1. 在“代理”选项卡中,执行下列操作之一:

    • 右键单击新添加的 OT 代理。

      此时会出现菜单。

    • 选中“OT 代理”旁的复选框。

      OT Security 启用“操作”>“配置”菜单。

  2. 单击“配置”。

    此时会出现“配置代理”面板。

  3. 在“名称”框中,输入代理名称。

  4. 在“主动查询”框中,提供要扫描的网络的 IP 地址。

    注意:OT 代理仅扫描属于受监控网络的主动查询网络 IP 地址(“环境设置”>“网络定义”>“受监控网络”)。

  5. (可选)要启用计划扫描,请点击“运行计划扫描”切换开关。

    OT Security 会启用“重复间隔”下拉框。

  6. (可选)根据需要指定分钟、小时、天或周。

  7. 在“凭据”框中,选择所需凭据。

    注意:只有您在“主动查询”>“凭据”中创建的凭据会在列表中显示。有关更多信息,请参阅“凭据”。

  8. 单击“保存”。

    OT Security 将 OT 代理的状态更新为“已连接”。

后续操作

运行扫描

使用 OT 代理运行扫描

所需的 OT Security 角色:管理员

当您启动代理扫描后,它会触发以下主动查询:

  • 发现:检测受监控网络中的实时资产。

  • 开放端口检查:扫描活动查询客户端最常用的端口。

  • 初始扩充:使用动态指纹识别引擎 (DFE) 识别新发现的资产。

  • OT 查询:收集设备信息,例如 PLC 运行状态以及其他连接到背板的模块。

  • IT 查询:从 OT Security 监控的 IT 设备中获取数据。

有关更多信息,请参阅“管理主动查询”。

要运行代理扫描,请执行以下操作:

  1. 在“数据源”>“代理”选项卡中,执行下列操作之一:

    • 右键单击新添加的 OT 代理。

      此时会出现菜单。

    • 选中“OT 代理”旁的复选框。

      OT Security 启用标题中的“操作”按钮。

    注意:要为多个代理启动扫描,请选择多个 OT 代理,然后单击“批量操作”>“立即扫描”。

  2. 单击“操作”>“立即扫描”。

    代理的状态更改为“正在扫描”并且扫描开始在指定的网络上进行。扫描完成后,单击“代理”表格中“已报告资产”列中的链接,在“清单”页面中查看筛选结果。

中止扫描

所需的 OT Security 角色:管理员

如果需要停止正在进行的扫描,请执行以下操作:

  1. 在“数据源”>“代理”选项卡中,执行下列操作之一:

    • 右键单击该代理,然后选择“中止扫描”。
    • 选中代理旁的复选框,然后单击“操作”>“中止扫描”。

    OT Security 停止扫描,“上次扫描结果”列显示“失败”。

更新 OT 代理

所需的 OT Security 角色:管理员

上传文件所需的 OT Security 用户角色:管理员、主管和安全分析师。

OT 代理使用 OT Discovery (OTD) 引擎主动扫描环境。您可以在“代理”页面手动或自动更新 OT Discovery 引擎版本。

自动更新

要在有 ICP 更新可用时自动更新 OTD 版本,请启用“自动更新”切换开关。切换开关默认处于禁用状态。当您启用“自动更新”后,只要有新版本可用,OT Security 便会自动将最新的 OTD 引擎版本推送给连接的代理。


手动更新

如果您需要在官方版本之间更新 OTD 引擎或需要同时批量更新多个代理,请使用手动更新。

开始之前

  • OT Discovery 引擎 (OTD) 更新中所述,在“系统配置”>“更新”>“OT Discovery 引擎 (OTD) 更新”部分中上传 OTD 文件。

  • 确保 OT 代理在线并且状态为“已连接”。

要手动更新 OTD 引擎,请执行以下操作:

  1. 在左侧导航栏中,单击“数据源”>“代理”。

    此时会出现“代理”选项卡。

  2. 要更新代理,请执行以下操作之一:

    • 右键单击要更新的代理。

      此时会出现菜单。

    • 选中要更新的代理旁边的复选框。

      OT Security 会启用“操作”菜单。

      注意:要批量更新 OTD 引擎,请选择多个代理,然后单击“批量操作”>“更新”。

  1. 单击“操作”>“更新”。

    此时会出现“更新 OTD 版本”对话框。

  1. 单击“更新”以确认。

    OT Security 将 OT Discovery 引擎更新到最新版本。

删除 OT 代理

所需的 OT Security 角色:管理员

若从 Windows 计算机卸载 OT 代理,则 OT Security 中的代理状态将更改为“已断开连接”。

删除 OT 代理的步骤:

  1. 在 Windows 计算机中,打开安装程序,然后单击“删除”。

  2. 按照向导中的步骤卸载代理。

    已从 Windows 计算机中卸载 OT 代理。

  3. OT Security 中导航至“数据源”>“代理”选项卡。

    OT Security 将代理的状态更新为“已断开连接”。

  4. 请执行下列操作之一:

    • 右键单击新添加的 OT 代理。

      此时会出现菜单。

    • 选中“OT 代理”旁的复选框。

      OT Security 激活“操作”>“删除”菜单。

      注意:要批量删除 OT 代理,请选择多个 OT 代理,然后单击“批量操作”>“删除”

  5. 单击“删除”。

    OT Security 删除 OT 代理。

    注意:如果存在关联的重复网络,您必须先将其删除,然后才能删除代理。

使用 CLI 安装 OT 代理

所需的 OT Security 角色:管理员

使用 CLI 命令来安装带有配对密钥、ICP 凭据或 API 密钥的 OT 代理。您也可以通过 CLI 卸载 OT 代理。

开始之前

  • Tenable 下载门户下载 OT 代理安装程序。

要通过配对密钥安装 OT 代理,请运行以下命令:

复制 
msiexec.exe /i "<OtAgentInstaller.msi>" /qn PAIRING_KEY="<PairingKey>"

其中:

  • OtAgentInstaller.msi 是安装文件。

  • PairingKey 是您通过 OT Security 中的“数据收集”>“数据源”>“代理”选项卡生成的密钥。

示例:

复制 
msiexec.exe /i "OtAgentInstaller.msi" /qn PAIRING_KEY="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxoxxxxxxxxxxxx"

要通过用户名和密码安装 OT 代理,请运行以下命令:

复制 
msiexec.exe /i "<OtAgentInstaller.msi>" /qn ICP_ADDRESS="<IpAddress>" ICP_USERNAME="<Username>" ICP_PASSWORD="<Password>" ICP_FINGERPRINT="<CertFingerprint>"

其中:

  • OtAgentInstaller.msi 是安装文件。

  • IpAddress 是 ICP 的 IP 地址。

  • Username 是用于登录 ICP 的用户名。

  • Password 是 ICP 密码。

  • CertFingerprint 是您在 OT Security 中生成的证书。

示例:

复制 
msiexec.exe /i "OtAgentInstaller.msi" /qn ICP_ADDRESS="XX.XXX.XX.XX" ICP_USERNAME="admin" ICP_PASSWORD="xxxxxxx" ICP_FINGERPRINT="XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX"

要通过 API 密钥安装,请运行以下命令:

复制 
msiexec.exe /i "<OtAgentInstaller.msi>" /qn ICP_ADDRESS="<IpAddress>" ICP_APIKEY="<APIKey>" ICP_FINGERPRINT="<CertFingerprint>"

(可选参数)INSTALLBASE='"<FullDirPath>"'

其中:

  • OtAgentInstaller.msi 是安装文件。

  • IpAddress 是 ICP 的 IP 地址。

  • APIKey 是从 ICP 生成的 API 密钥。

  • CertFingerprint 是从 ICP 生成的证书。

  • FullDirPath 是安装目录的路径。

示例 1:

复制 
msiexec.exe /i "OtAgentInstaller.msi" /qn ICP_ADDRESS="XX.XXX.XX.XX" ICP_APIKEY="kxxxxxxxxxxxxxxxxx_xxxxxxxx=" ICP_FINGERPRINT="XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

示例 2:使用 INSTALLBASE 参数:

复制 
msiexec.exe /i "OtAgentInstaller.msi" /qn ICP_ADDRESS="xx.xxx.xx.xx" ICP_APIKEY="xxxxxxxxxxxxxxx_xxxxxxxxxxx=" ICP_FINGERPRINT="XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX" INSTALLBASE='"C:\Program Files\AAA"'

要卸载 OT 代理,请运行以下命令:

复制 
msiexec.exe /x "<OtAgentInstaller.msi>" /qn

其中:

  • OtAgentInstaller.msi 是安装文件。

为 OT 代理启用、禁用或设置计划扫描

使用“批量操作”选项,为多个 OT 代理同时启用或禁用计划扫描。

开始之前

  • 确保 OT 代理在线且其“状态”列显示“已连接”。

对计划代理扫描执行批量操作:

  1. 在“代理”表中,为扫描选择多个 OT 代理。

    OT Security 启用标题中的“批量操作”。

  2. 请选择以下选项之一:

    批量操作选项 描述
    启用计划扫描 选择此选项以启用计划代理扫描。计划扫描默认每分钟运行一次。
    禁用计划扫描 选择此选项以禁用计划代理扫描。
    设置计划扫描

    1. 要配置计划扫描,请单击“批量操作”>“设置计划扫描”。

      此时会出现“设置计划”面板。

    2. 在“重复频率”框中,选择希望扫描重复的次数。

    3. 根据需要指定分钟、小时、天或周。

      注意:您在此处指定的计划将覆盖代理的任何现有计划。

    4. 单击“保存”。