安装 OT Security 传感器
安装 OT Security 传感器涉及将传感器与 Industrial Core 平台 (ICP) 配对。要将传感器与 OT Security ICP 配对,请同时使用 ICP 管理控制台和传感器的 Tenable Core 用户界面。
您可以选择启用自动批准传入的配对请求,或禁用自动批准,并允许对每个新的传感器配对请求仅进行手动批准。
开始之前
确保满足以下条件:
-
传感器硬件已正确安装(请参阅“设置传感器”)。
-
传感器已连接到网络交换机(请参阅“将传感器连接到网络”)。
-
传感器有专属的静态 IPv4 地址(请参阅“访问传感器安装向导”)。
-
传感器已连接到 Tenable Core 平台,并且您已设置用于登录 Core 用户界面的用户名和密码。有关使用 Tenable Core 用户界面的更多信息,请参阅 Tenable Core + Tenable OT Security 用户指南。
-
ICP 控制台中的证书处于有效状态(请参阅证书)。
若要将 3.14 或更高版本的传感器与 ICP 配对,请执行以下操作:
-
在 ICP 管理控制台(用户界面)中,导航至“本地设置”>“传感器”窗口。
-
如果要启用自动批准传感器配对请求,请确保将屏幕顶部的“自动批准传入的传感器配对请求”开关切换为“打开”。否则,所有配对请求都需要手动批准。
-
打开新选项卡,让 ICP 选项卡处于打开状态,然后通过输入“<Sensor IP>:8000”来访问传感器的 Tenable Core 用户界面。
注意:您需要使用最新版本的 Chrome 才能访问 Tenable Core 用户界面。 -
在 Tenable Core 控制台登录窗口中,输入您的“用户名”和“密码”,选中“对特权任务重复使用密码”复选框,然后单击“登录”。
重要事项:如果您不选择“对特权任务重复使用密码”,则无法重新启动传感器服务。 -
在“导航”菜单栏中,单击“OT Security 传感器”。
此时会出现“OT Security 传感器配对”窗口。
注意:“Tenable OT Security 传感器配对”窗口仅在首次加载页面时出现。要在此之后打开窗口,请单击 Tenable Core 控制台“配对信息”部分中的 按钮。 -
在“ICP IP 地址”框中,输入要与此传感器配对的 ICP 的 IPv4 地址。
-
若要使用未经身份验证(未加密)的配对,请选择“未经身份验证的配对”复选框并跳至第 8 步。
注意:使用未经身份验证的配对的传感器不仅只能被动扫描其网段,而且不能由 ICP 管理,所以无法发送主动查询。 -
若要完成配对身份验证,请执行下列操作之一:
-
在“ICP 用户”框中输入 ICP 用户名,在“ICP 密码”框中输入 ICP 密码。
-
在“ICP API 密钥”框中,输入 ICP 的 API 密钥。
注意:Tenable 建议创建专用 ICP 用户来负责传感器配对,以确保在配对过程中不会发生连接中断(请参阅“添加本地用户”)。
注意:使用用户名和密码的身份验证方法具有不会过期凭据的优点,这与 API 密钥不同,API 密钥最终会过期。 -
-
单击“配对传感器”。
-
如要使用 ICP 提供的证书,请执行以下操作:
-
在 Tenable Core 的“Tenable ICP 证书”部分的“批准状态”下,等待证书信息加载。
-
点击“批准”以批准该证书。
-
在“确认接受 Tenable OT Security 服务器证书”弹出窗口中,单击“接受此证书”。
如果喜欢手动上传证书,请执行以下操作:
-
在 Tenable ICP 控制台中,请按“生成 HTTPS 证书”中所述的步骤操作。
-
在 Tenable Core 的“Tenable ICP 证书”部分,单击“上传已批准的证书”下的“选择文件”。
-
导航到要上传的 .pem 证书文件。
正确接受有效的证书后,其在“OT Security ICP 证书”表中的“批准状态”会显示为“已批准”。
-
-
-
在 ICP 用户界面中,导航至“本地设置”>“传感器”。
OT Security 会在表中显示新的传感器,状态为“待批准”。
-
单击传感器行,然后单击“操作”(或右键单击该行)并选择“批准”。
如果状态切换为“已连接”,则表示配对成功。其他可能的状态包括:
-
已连接(未经身份验证): 传感器处于已连接模式,但未经身份验证。传感器只能执行被动网络检测。
-
已暂停:传感器已正确连接,但已暂停。
-
断开连接:传感器未连接。对于经过身份验证的传感器,可能是因为配对过程中发生错误所致。例如,通道错误和 API 问题。
-
已连接(通道错误):配对成功,但通道上的通信不可操作。检查端口 28304 从传感器到 ICP 的连接。有关更多信息,请参阅“防火墙注意事项”。
当 OT Security 将经过身份验证的传感器完成配对后,您便可以配置要在此传感器上运行的主动查询。