环境配置

资产设置

资产设置页面包含以下部分:

受监控网络

“受监控网络”配置包含一组 IP 范围(CIDR/子网),用于定义 OT Security 的监控边界。OT Security 会忽略配置范围之外的资产。

默认情况下,OT Security 会配置三个默认公共范围:10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16,以及链接本地范围 169.254.0.0/16 (APIPA)。

要禁用任何默认范围或添加适合您网络的范围,请执行以下操作:

  1. 转至“本地设置”>“环境配置”>“资产设置”。

    此时会出现“资产设置”窗口。

  2. 在“受监控的网络”部分,单击“编辑”。

    此时会出现“受监控的网络”面板。

  3. 在指定的文本框中选择所需的“默认 IP 范围”和/或添加“其他 IP 范围”(每行一个 IP 范围)。

  4. 单击“保存”。

    OT Security 会保存受监控的网络配置。

重复的内部网络

将 IP 地址分配给多个设备时,会发生 IP 范围重叠。重叠的 IP 范围在制造环境中很常见,这给准确识别和跟踪资产带来了挑战,进而会造成可见性缺口、资产关联错误等问题。您可以定义 OT Security 的重叠网络,以便即使在不同网段中重复使用 IP 地址时,也能准确跟踪资产。

添加重复网络

开始之前

  • 确保您已配对经过身份验证的传感器。

    注意OT Security 不支持在未经身份验证的传感器上使用重复网络。

如要在环境中定义重复网络,请执行以下操作:

  1. 转至“本地设置”>“环境配置”>“资产设置”。

    此时会出现“资产设置”页面。

  2. 在“重复的内部网络”部分,单击“添加网络”。

    此时会出现“添加重复的网络”面板,其中包含网络详细信息

    注意OT Security 使用 240.0.0.0/4 IP 范围作为将 IP 地址映射到 NAT IP 分配的内部保留池。要更改此保留池范围,请联系 Tenable 支持部门。

  3. 在“重复的 IP 范围”框中,以 CIDR 格式输入 IP 范围,例如,192.168.0.0/24。

  4. 从“重复项(传感器)”下拉框中,选择与重复的 IP 范围关联的传感器。

  5. 单击“下一步”。

    此时会出现“确认”面板。

  6. (可选)选中“删除资产”复选框。

    提示:要将所有所选资产分离到各自的网络中,Tenable 建议您允许 OT Security 删除资产并在启动后重新发现它们。如果您未选中“删除资产”复选框,资产将保留在当前的 IP 范围内,这可能会导致不一致或出现意外行为。

  7. 单击“保存”。

    OT Security 会保存重复的 IP 范围,相关范围会显示在“重复的内部网络”表中。

    重要说明:完成配置重复的网络后,Tenable 建议您重新启动 OT Security,然后再启用传感器。

  8. 重新启动 OT Security

  9. 要启用传感器,请转至“本地设置”>“传感器”:

    注意:主动查询的 IP 范围 (CIDR) 是您在“重复的内部网络”设置中配置的范围。

    1. 请执行下列操作之一:

      • 单个传感器:右键单击传感器,然后单击“编辑”。在“编辑传感器”面板中,单击“传感器主动查询”切换开关以启用主动查询。

      • 多个传感器:选择所有需要的传感器。在标题中,选择“批量操作”>“启用主动查询”。

    2. 右键单击传感器,将状态从“已暂停”更改为“已连接”以将其激活。

后续步骤

配置重复的网络并重新启动 OT Security 之后,资产在“所有资产”表中以其实际 IP 显示。此外,在输入分配给重复网络的 IP 时,必须选择相应的传感器。例如:在“主动查询”>“发现/Nessus 扫描”>“创建扫描”中,或在“凭据”>“测试凭据”中:

  • 在“清单”>“所有资产”中,查看“所有资产”表中的实际 IP 地址和资产来源。例如,两个共用同一 IP 地址但与不同传感器关联的资产。

  • 在“主动查询”>“查询管理”>“发现”或“Nessus 扫描”>“创建扫描”中,配置涉及重复网络的主动查询时,请选择该 IP 范围的“相关传感器”。这允许您运行与特定传感器关联的资产的查询,同时排除其他传感器。

    注意OT Security 仅针对重复的网络中的 IP 范围启用“相关传感器”框。此项对所有其他 IP 范围保持禁用状态。

  • 在“主动查询”>“凭据”>“测试凭据”中配置凭据时,如果您输入了重复网络中的 IP 范围,则还必须在“重复项(传感器)”框中选择关联的传感器。

  • 要为属于重复网络的资产创建资产组,请使用“资产选择”选项,并根据“资产”表中的“来源”列识别特定 IP。

“重复的内部网络”表显示以下详细信息:

描述
CIDR 重复的网络 IP 范围。
传感器 与重复的网络 IP 范围关联的传感器。
正在使用中 - 发现查询 指示 CIDR 是否正在至少一个资产发现(主动查询)中使用。如果是,请移除 CIDR 主动发现,然后再删除包含该 CIDR 的重复网络。
使用中 - Nessus 扫描 指示 CIDR 是否正在至少一个 Nessus 扫描中使用。如果是,请从 Nessus 扫描中移除 CIDR,然后再删除包含该 CIDR 的重复网络。

对重复的内部网络的操作

如要编辑重复的网络,请执行以下操作:

  1. 在“重复的内部网络”部分,选择要修改的重复网络。

  2. 请执行下列操作之一:

    • 右键单击重复的网络并选择“编辑”。

    • 在该部分的右上角,选择“操作”>“编辑”。

      此时会出现“编辑重复的网络”面板,其中包含所选重复网络的详细信息。

  3. 根据需要修改值。

  4. 单击“下一步”。

  5. 在“确认”面板中,单击“保存”。

    OT Security 会保存对重复的网络所做的更改。

可以删除不再需要的重复网络。

如要删除重复的网络,请执行以下操作:

  1. 在“重复的内部网络”部分,选择要删除的重复网络。

  2. 请执行下列操作之一:

    • 右键单击重复的网络并选择“删除”。

    • 在该部分的右上角,选择“操作”>“删除”。

OT Security 会删除重复的网络。

  1. 从 Nessus 扫描/主动发现中移除 CIDR。

  2. 从重复的网络设置配置中删除传感器。

  3. 如需替换,请使用 API 设置新的传感器 ID 并替换旧的传感器。

  4. 在“传感器”页面中,删除旧的传感器。

手动添加资产

为了跟踪清单,即使 OT Security 尚未检测到这些资产,您也可能希望查看这些资产。可以通过下载并编辑 CSV 文件,然后将该文件上传到系统来手动将这些资产添加到清单中。您只能上传其 IP 未被系统中现有资产所使用的资产。如果系统检测到具有相同 IP 的网络通信资产,则系统将使用检索到的有关已检测到资产的信息并覆盖之前上传的信息。当检测到在网络中通信时,系统会开始将该资产作为常规资产进行处理。

已上传资产的 IP 地址会计入系统许可。

OT Security 检测到上传的资产之前,其风险评分为 0。

注意:手动添加资产后,OT Security 在检测到这些资产在网络中发生通信后才会检测与之相关的事件。

若要手动添加资产,请执行以下操作:

  1. 转至“本地设置”>“环境配置”>“资产设置”。

    此时会出现“资产设置”屏幕。

  2. 打开“手动添加资产”,在“操作”菜单中选择“下载 CSV 模板”。

    OT Security 会下载 tot_Assets 模板文档。

  3. 打开 tot_Assets 模板文档。

  4. 根据文件中的说明精确编辑 tot_Assets 模板,仅保留列标题(名称、类型等)和输入的值。

  5. 保存已编辑的文件。

  6. 返回“资产设置”屏幕。

  7. 在“操作”菜单中,选择“上传 CSV”,然后导航至要上传的 CSV 文件并打开文件。

  8. 在“手动添加资产”中,单击“下载报告”。

    此时会显示一个包含报告的 CSV 文件,“结果”列中会显示成功和失败。错误的详细信息会显示在“错误”列中。

SCD 文件

变电站配置描述 (SCD) 文件包含变电站的所有通信相关详细信息。您现在可将 SCD 文件上传到 OT Security,并获得关于您的资产、IEC 61850 配置以及环境安全见解的可见性。

根据 SCD 文件信息,OT Security 会报告与变电站错误配置相关的发现结果,例如:

  • 未经授权的客户端访问制造消息规范 (MMS) 报告。

  • 未经授权的客户端(未在 SCD 文件中提及)尝试订阅 MMS 报告。

注意OT Security 仅支持 SCD 文件的以下格式:
  • 变电站配置语言 (SCL) 版本 1.0 和 2.0。
  • 仅包含一个变电站的 SCD 文件。

如要上传 SCD 文件,请执行以下操作:

  1. 转至“本地设置”>“环境配置”>“资产设置”。

    此时会出现“资产设置”页面。

  2. 在“SCD 文件”部分,单击“上传”。

    注意:只能为每个变电站上传一个 SCD 文件。如果最近上传的文件包含相同的变电站名称,之前的文件会被覆盖。

  3. 浏览并选择要上传的文件。

    OT Security 上传 SCD 文件后,您可以在“清单”>“详细信息”和“IEC 61850”选项卡中查看资产详细信息。SCD 文件中的任何错误配置都会触发一个事件,并且“详细信息”和“IEC 61850”页面的顶部会显示一条未经授权访问的错误消息。

  4. (可选)要下载发现结果详细信息,请单击错误消息中的“下载详细信息”。

    OT Security 会以 CSV 格式下载详细信息。

获取 IoT 资产的 IP 地址

默认情况下,从 IoT 连接器导入资产时,OT Security 会导入设备的 IP 地址和 MAC 地址。要仅导入 MAC 地址,请禁用“获取 IoT 资产的 IP 地址”选项。有关更多信息,请参阅“IoT 连接器”。

事件群集

为了便于监控事件,具有相同特性的多个事件会划分到一个群集中。群集基于事件类型(即共享相同策略的事件)、源和目标资产等。

必须在以下已配置时间间隔内生成要划分到一个群集的事件:

  • 连续事件之间的最长时间间隔:设置事件之间的最长时间间隔。如果超过此时间,连续事件则不会划分到一个群集中。

  • 第一个和最后一个事件之间的最长时间间隔:设置所有事件显示为一个群集的最长时间间隔。在此时间间隔之后生成的事件将不是群集的一部分。

若要启用群集,请执行以下操作:

  1. 转至“本地设置”,然后转至“环境配置”>“事件群集”。

    此时会出现“事件群集”屏幕。

  2. 单击切换开关以启用所需的群集类别。

  3. 如要配置某个类别的时间间隔,请单击“编辑”。

    此时会出现“编辑配置”窗口。

  4. 在数字框中输入所需的数值,并使用下拉框选择时间单位。

    注意:有关群集和时间间隔的更多信息,请单击 按钮。

  5. 单击“保存”。

PCAP 播放器

OT Security 支持上传包含记录的网络活动的 PCAP(数据包捕获)文件,并在 OT Security 上“播放”。在“播放”PCAP 文件时,OT Security 会监控网络流量,并记录有关检测到的资产、网络活动和漏洞的所有信息,如同流量出现在您的网络中一样。此功能可用于模拟目的,或分析在 OT Security 监控的网络之外发生的流量。例如,远程工厂。

注意:PCAP 播放器支持这些文件类型:.pcap.pcapng.pcap.gz.pcapng.gz。可以使用由 OT Security 的实例或其他网络监控工具记录的文件。

上传 PCAP 文件

若要上传 PCAP 文件,请执行以下操作:

  1. 转至“本地设置”>“环境配置”>“PCAP 播放器”。

  2. 单击“上传 PCAP 文件”。

    此时会打开文件资源管理器

  3. 选择所需的 PCAP 记录。

  4. 单击“打开”。

    OT Security 将 PCAP 文件上传到系统。

播放 PCAP 文件

若要播放 PCAP 文件,请执行以下操作:

  1. 转至“本地设置”>“环境配置”>“PCAP 播放器”。

  2. 选择要播放的 PCAP 录音。

  3. 单击“操作”>“播放”。

    此时会出现“播放 PCAP”向导。

  4. 在“播放速度”下拉框中,选择您希望系统播放文件的速度。

    选项为:“1X”、“2X”、“4X”、“8X”或“16X”。

    注意:播放 PCAP 文件会将数据注入到系统中,此操作在执行后无法撤消或停止。

  5. 单击“播放”。

    系统播放 PCAP 文件。PCAP 文件中的所有网络活动都会在系统中注册,并且系统识别的资产会添加到资产清单中。

    注意:当某个文件仍在播放时,不能播放另一个 PCAP 文件。