Umgebungskonfiguration

Überwachte Netzwerke

Die Konfiguration des überwachten Netzwerks enthält eine Reihe von IP-Bereichen (CIDRs/Subnetze), die die Überwachungsgrenzen für OT Security definieren. OT Security ignoriert Assets außerhalb der konfigurierten Bereiche.

Standardmäßig konfiguriert OT Security drei öffentliche Standardbereiche: 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 sowie den Link-Local-Bereich 169.254.0.0/16 (APIPA).

So deaktivieren Sie einen der Standardbereiche oder fügen für Ihr Netzwerk geeignete Bereiche hinzu:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > Asset-Einstellungen.

    Das Fenster Asset-Einstellungen wird angezeigt.

  2. Klicken Sie auf Bearbeiten.

    Der Fensterbereich „Überwachtes Netzwerk“ wird angezeigt.

  3. Wählen Sie die erforderlichen Standard-IP-Bereiche aus und/oder fügen Sie im Textfeld Zusätzliche IP-Bereiche entsprechende Einträge (ein IP-Bereich pro Zeile) hinzu.

  4. Klicken Sie auf Speichern.

    OT Security speichert die Konfiguration des überwachten Netzwerks.

Assets manuell hinzufügen

Um Ihr Inventar zu verfolgen, sollten Sie eventuell einige zusätzliche Assets anzeigen, die Sie besitzen, auch wenn diese Assets noch nicht von OT Security erkannt wurden. Sie können diese Assets manuell zu Ihrem Inventar hinzufügen, indem Sie eine CSV-Datei herunterladen und bearbeiten und die Datei dann in das System hochladen. Sie können nur Assets hochladen, deren IP-Adressen noch nicht von einem vorhandenen Asset im System verwendet werden. Falls das System ein Asset erkennt, das mit derselben IP über das Netzwerk kommuniziert, verwendet es die über das erkannte Asset abgerufenen Informationen und überschreibt die zuvor hochgeladenen Informationen. Das System behandelt das Asset als reguläres Asset, sobald es erkennt, dass das Asset im Netzwerk kommuniziert.

Die IP-Adressen hochgeladener Assets werden als Teil der Systemlizenzierung gezählt.

Für hochgeladene Assets wird der Risikowert 0 angezeigt, bis OT Security diese Assets erkennt.

Hinweis: Für manuell hinzugefügte Assets werden keine Ereignisse erkannt, bis OT Security erkennt, dass sie über das Netzwerk kommunizieren.

So fügen Sie Assets manuell hinzu:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > Asset-Einstellungen.

    Der Bildschirm Asset-Einstellungen wird angezeigt.

  2. Wählen Sie unter Assets manuell hinzufügen im Menü Aktionen die Option CSV-Vorlage herunterladen aus.

    OT Security lädt das Vorlagendokument „tot_Assets“ herunter.

  3. Öffnen Sie das Vorlagendokument „tot_Assets“.

  4. Bearbeiten Sie die Vorlage „tot_Assets“ genau gemäß den Anweisungen in der Datei und behalten Sie nur die Spaltenüberschriften (Name, Typ usw.) und die von Ihnen eingegebenen Werte bei.

  5. Speichern Sie die bearbeitete Datei.

  6. Kehren Sie zum Bildschirm Asset-Einstellungen zurück.

  7. Wählen Sie im Menü Aktionen die Option CSV-Datei hochladen aus, navigieren Sie zu der gewünschten CSV-Datei und öffnen Sie sie, um sie hochzuladen.

  8. Klicken Sie unter Assets manuell hinzufügen auf Bericht herunterladen.

    Daraufhin wird eine CSV-Datei mit dem Bericht angezeigt, die Erfolge und Fehlschläge in der Spalte „Ergebnis“ angibt. Einzelheiten zu Fehlern befinden sich in der Spalte „Fehler“.

Ereigniscluster

Um die Überwachung von Ereignissen zu vereinfachen, werden mehrere Ereignisse mit denselben Merkmalen in einem einzigen Cluster zusammengefasst. Das Clustering basiert auf dem Ereignistyp (d. h. Ereignisse, die dieselbe Richtlinie nutzen), Quell- und Ziel-Assets usw.

Damit Ereignisse geclustert werden können, müssen sie innerhalb der folgenden konfigurierten Zeitintervalle generiert werden:

  • Maximale Zeit zwischen aufeinanderfolgenden Ereignissen – Legt das maximale Zeitintervall zwischen Ereignissen fest. Wenn diese Zeit verstrichen ist, werden aufeinanderfolgende Ereignisse nicht geclustert.

  • Maximale Zeit zwischen erstem und letztem Ereignis – Legt das maximale Zeitintervall für alle Ereignisse fest, die als Cluster angezeigt werden sollen. Ein Ereignis, das nach diesem Zeitintervall generiert wird, wird nicht in den Cluster aufgenommen.

So aktivieren Sie Clustering:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > Ereigniscluster.

    Der Bildschirm Ereigniscluster wird angezeigt.

  2. Klicken Sie auf den Umschalter, um die gewünschten Kategorien für das Clustering zu aktivieren.

  3. Um die Zeitintervalle für eine Kategorie zu konfigurieren, klicken Sie auf Bearbeiten.

    Das Fenster Konfiguration bearbeiten wird angezeigt.

  4. Geben Sie den gewünschten Zahlenwert in das Zahlenfeld ein und wählen Sie die Zeiteinheit über das Dropdown-Feld aus.

    Hinweis: Weitere Informationen zu Clustering und Zeitintervallen können Sie über das Symbol  aufrufen.

  5. Klicken Sie auf Speichern.

PCAP-Player

OT Security ermöglicht es Ihnen, eine PCAP-Datei (Packet Capture, Paketerfassung) mit aufgezeichneter Netzwerkaktivität hochzuladen und auf OT Security „abzuspielen“. Wenn Sie eine PCAP-Datei „abspielen“, überwacht OT Security den Netzwerk-Traffic und zeichnet alle Informationen über erkannte Assets, Netzwerkaktivitäten und Schwachstellen so auf, als ob der Traffic in Ihrem Netzwerk stattgefunden hätte. Sie können diese Funktion zu Simulationszwecken oder zur Analyse von Traffic verwenden, der außerhalb des Netzwerks stattfindet, das von OT Security überwacht wird. Zum Beispiel Remote-Anlagen.

Hinweis: Der PCAP-Player unterstützt die folgenden Dateitypen: .pcap, .pcapng, .pcap.gz und .pcapng.gz. Sie können Dateien verwenden, die von einer Instanz von OT Security oder anderen Netzwerküberwachungstools aufgezeichnet wurden.

PCAP-Dateien hochladen

So laden Sie eine PCAP-Datei hoch:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > PCAP-Player.

  2. Klicken Sie auf PCAP-Datei hochladen.

    Der Datei-Explorer wird geöffnet.

  3. Wählen Sie die gewünschte PCAP-Aufzeichnung aus.

  4. Klicken Sie auf Öffnen.

    OT Security lädt die PCAP-Datei in das System hoch.

PCAP-Dateien abspielen

So spielen Sie eine PCAP-Datei ab:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > PCAP-Player.

  2. Wählen Sie die PCAP-Aufzeichnung aus, die Sie abspielen möchten.

  3. Klicken Sie auf Aktionen > Abspielen.

    Der Assistent PCAP abspielen wird angezeigt.

  4. Wählen Sie im Dropdown-Feld Abspielgeschwindigkeit die Geschwindigkeit aus, mit der das System die Datei abspielen soll.

    Verfügbare Optionen: 1X, 2X, 4X, 8X oder 16X.

    Hinweis: Durch das Abspielen einer PCAP-Datei werden Daten in das System eingebracht. Sobald dieser Vorgang ausgeführt wird, können Sie ihn nicht mehr rückgängig machen oder anhalten.

  5. Klicken Sie auf Abspielen.

    Das System spielt die PCAP-Datei ab. Alle Netzwerkaktivitäten in der PCAP-Datei werden im System registriert und vom System identifizierte Assets werden dem Asset-Inventar hinzugefügt.

    Hinweis: Sie können keine andere PCAP-Datei abspielen, während bereits eine Datei abgespielt wird.