Netzwerkübersicht
Der Bildschirm Netzwerkübersicht bietet eine visuelle Darstellung der Netzwerk-Assets und ihrer Verbindungen im zeitlichen Verlauf, die von den Netzwerkerkennungsfunktionen von OT Security erfasst wurden. Die Netzwerkerkennung bietet detaillierte Echtzeit-Einblicke in alle Aktivitäten im Betriebsnetzwerk und konzentriert sich auf Engineering-Aktivitäten auf der Steuerungsebene wie z. B. Firmware-Downloads oder -Uploads, Code-Updates und Konfigurationsänderungen, die über proprietäre und anbieterspezifische Protokolle durchgeführt werden. Die Netzwerkübersicht zeigt die Assets nach Gruppen von verwandten Assets oder als einzelne Assets.
In der Netzwerkübersicht werden alle Assets und Verbindungen angezeigt, die während des angegebenen Zeitraums von Tenable erfasst wurden.
Die Seite Netzwerkübersicht enthält die folgenden Details:
-
Suchfeld – Geben Sie einen Suchtext ein, um in der Anzeige nach Assets zu suchen. In der Netzwerkübersicht werden die Suchergebnisse durch Hervorheben aller Gruppen angezeigt, die mit dem Suchtext übereinstimmen. Sie können jede Gruppe aufschlüsseln, um die relevanten Assets anzuzeigen.
-
Filter – Filtern Sie die Übersicht nach einer oder mehreren der angegebenen Kategorien: Asset-Typ, Anbieter, Familien, Risikostufen, Purdue-Level. Eine Erläuterung der Asset-Typen finden Sie unter Asset-Typen.
-
Zeitraum – Die Netzwerkübersicht zeigt Assets und Verbindungen an, die während des angegebenen Zeitraums erkannt wurden. Der Standardzeitraum ist auf Letzte 30 Tage festlegt. Wählen Sie im Dropdown-Feld „Zeitraum“ einen anderen Zeitraum aus.
-
Gruppierung – Geben Sie die Kategorie an, nach der die Assets in der Anzeige gruppiert werden. Verfügbare Optionen: Asset-Typ, Purdue-Level, Risikostufe oder Keine Gruppierung. Die Option Alle Gruppen reduzieren behält die aktuelle Gruppierungsauswahl bei, reduziert jedoch alle geöffneten Gruppen.
-
Aktionen – Sie können die folgenden Aktionen im Dropdown-Menü auswählen:
-
Als Baseline festlegen – Hiermit können Sie die Baseline festlegen, die zum Erkennen anomaler Netzwerkaktivitäten verwendet wird, siehe Netzwerk-Baseline festlegen.
-
Automatisch anordnen – Hiermit können Sie die Übersicht automatisch für die aktuell angezeigten Entitäten optimieren.
-
-
Gruppen/Assets – Die Übersicht enthält ein Symbol für jede Gruppe von Assets, wobei jeder Asset-Typ durch ein eindeutiges Symbol darstellt wird, wie unter Asset-Typen beschrieben. Bei Gruppen gibt die Zahl oben im Symbol die Anzahl der Assets an, die in dieser Gruppe enthalten sind. Sie können die Anzeige aufschlüsseln, um separate Symbole für jede Untergruppe anzuzeigen, bis Sie zu den Symbolen für einzelne Assets gelangen. Bei einzelnen Assets zeigt die Farbe des Rahmens um das Asset dessen Risikostufe an (rot, gelb, grün).
Hinweis: Sie können die Gruppen und Assets ziehen und neu positionieren, um einen besseren Überblick über die Assets und ihre Verbindungen zu erhalten. -
Verbindungen – Jede Kommunikation zwischen Asset-Gruppen und/oder einzelnen Assets, entsprechend dem Granularitätsgrad, der aktuell in der Übersicht angezeigt wird. Die Dicke der Linie zeigt das Kommunikationsvolumen über diese Verbindung an.
-
Gesamtzahl der angezeigten Assets – Zeigt die Anzahl der im Netzwerk erkannten (und in der Übersicht angezeigten) Assets basierend auf dem angegebenen Zeitraum und den Asset-Filtern. Diese Zahl wird relativ zur Gesamtzahl der in Ihrem Netzwerk erkannten Assets angezeigt.
-
Navigationssteuerelemente – Sie können die Anzeige vergrößern und verkleinern und darin navigieren, um die gewünschten Elemente anzuzeigen. Hierzu können Sie die Steuerelemente auf dem Bildschirm oder die Standard-Maussteuerungen verwenden.
Asset-Gruppierungen
Auf der Seite Netzwerkübersicht können Assets nach verschiedenen Kategorien gruppiert angezeigt werden. Es werden Verbindungen zwischen Gruppen von Assets angezeigt. Sie können auf ein Asset klicken, um die Gruppe aufzuschlüsseln und die darin enthaltenen Elemente anzuzeigen. Sie können auch mehrere Gruppen gleichzeitig aufschlüsseln. OT Security bietet mehrere Ebenen eingebetteter Gruppen, sodass Sie bei jeder Aufschlüsselung eine detailliertere Ansicht der enthaltenen Assets erhalten.
Im Folgenden sind die Gruppierungen aufgeführt, die Sie auf die Hauptanzeige anwenden können, sowie die Aufschlüsselungsoptionen für die jeweilige Auswahl.
Wenn die Übersicht nach Asset-Typ (Standardeinstellung) gruppiert ist, sieht die Aufschlüsselungshierarchie wie folgt aus: Asset-Typ > Anbieter > Familie > Einzelnes Asset.
Wenn die Übersicht nach Risikostufe oder Purdue-Level gruppiert ist, wird eine zusätzliche Ebene über der Asset-Typ-Gruppierung hinzugefügt, sodass die Hierarchie wie folgt lautet: Purdue-Level/Risikostufe > Asset-Typ > Anbieter > Familie > Einzelnes Asset. Die enthaltenen Gruppen/Assets sind von einem Kreis umgeben, der jeweils eine einzelne Ebene darstellt.
Das folgende Beispiel zeigt, wie Sie die Anzeige aufschlüsseln können:
So schlüsseln Sie eine Asset-Typ-Gruppe auf:
-
Standardmäßig wird der Bildschirm Netzwerkübersicht mit nach Asset-Typ gruppierten Assets geöffnet.
-
Doppelklicken Sie auf das Symbol der Gruppe, die Sie aufschlüsseln möchten (z. B. „Controller“).
Die Gruppe wird erweitert und zeigt die Gruppen der Anbieter innerhalb dieser Gruppe an.
-
Zur weiteren Aufschlüsselung klicken Sie auf eine Anbietergruppe (z. B. Rockwell).
-
Um noch weiter aufzuschlüsseln, klicken Sie auf eine Familiengruppe (z. B. SLC5).
Die einzelnen Assets innerhalb dieser Gruppe werden angezeigt.
-
Sie können jetzt auf ein bestimmtes Asset klicken, um Details für dieses Asset und seine Verbindungen anzuzeigen, siehe Inventar.
So reduzieren Sie die Anzeige:
-
Klicken Sie auf Gruppieren nach.
-
Klicken Sie auf Alle Gruppen reduzieren.
Es werden wieder die Gruppen der obersten Ebene angezeigt.
So entfernen Sie jegliche Gruppierung:
-
Klicken Sie auf die Schaltfläche Gruppieren nach.
-
Wählen Sie Keine Gruppierung aus.
In der Übersicht werden alle einzelnen Assets ohne Gruppierung angezeigt.
Anwenden von Filtern auf die Übersicht
Sie können die Übersicht nach einer oder mehreren der angegebenen Kategorien filtern: Asset-Typ, Anbieter, Familien, Risikostufen, Purdue-Level.
So wenden Sie Filter auf die Übersicht an:
-
Klicken Sie auf die gewünschte Filterkategorie.
-
Aktivieren oder deaktivieren Sie die Kontrollkästchen für jedes Element, das Sie in die Anzeige einschließen bzw. aus der Anzeige ausschließen möchten.
Hinweis: Standardmäßig sind alle Elemente im Filter enthalten.
-
Sie können auf das Kontrollkästchen Alle auswählen klicken, um die Auswahl aller Werte aufzuheben, und dann die gewünschten Werte hinzufügen.
-
Sie können im Filtersuchfeld eine Suche durchführen, um einen bestimmten Wert im Filterfenster zu finden.
-
Wiederholen Sie den Vorgang nach Bedarf für jede Filterkategorie.
-
Klicken Sie auf Anwenden.
In der Übersicht werden nur die ausgewählten Elemente angezeigt.
Anzeigen von Asset-Details
Sie können auf ein bestimmtes Asset klicken, um grundlegende Informationen über das Asset und seine Netzwerkaktivitäten anzuzeigen, einschließlich Risikostufe, IP-Adresse, Asset-Typ, Anbieter und Familie. Die Übersicht zeigt Verbindungen vom ausgewählten Asset zu allen anderen Assets, die mit diesem kommunizieren. Sie können dann auf den als Link fungierenden Asset-Namen klicken, um zum Bildschirm Asset-Details mit detaillierteren Informationen über das Asset zu gelangen.
Netzwerk-Baseline festlegen
Eine Netzwerk-Baseline ist eine Übersicht aller Konversationen, die während eines bestimmten Zeitraums zwischen Assets im Netzwerk stattgefunden haben. Die Netzwerk-Baseline wird in Richtlinien vom Typ „Netzwerk-Baseline-Abweichung“ verwendet, die vor anomalen Konversationen im Netzwerk warnen, siehe Netzwerkereignistypen.
Assets, die während der Baseline-Stichprobe nicht interagiert haben, lösen eine Richtlinienwarnung für jede Konversation aus (in der Annahme, dass sie im Geltungsbereich der angegebenen Richtlinienbedingungen liegt). Damit Richtlinien vom Typ „Netzwerk-Baseline-Abweichung“ erstellt werden können, müssen Sie zuerst eine anfängliche Netzwerk-Baseline im Bildschirm Netzwerkübersicht erstellen. Sie können die Netzwerk-Baseline jederzeit durch Festlegen einer neuen Netzwerk-Baseline aktualisieren.
So legen Sie eine Netzwerk-Baseline fest:
-
Wählen Sie im Bildschirm Netzwerkübersicht mithilfe der Zeitraumauswahl oben im Bildschirm den Zeitraum der Konversationen aus, die in die Netzwerk-Baseline aufgenommen werden sollen.
Die Netzwerkübersicht für den ausgewählten Zeitraum wird angezeigt.
-
Wählen Sie in der oberen rechten Ecke Aktionen > Als Baseline festlegen aus.
OT Security konfiguriert die neue Netzwerk-Baseline und wendet sie auf alle Richtlinien vom Typ „Netzwerk-Baseline-Abweichung“ an.