OT-Agents

OT-Agents sind Softwarekomponenten, die Sie auf Remote-Windows-Computern installieren können, um OT Security-Assets in Umgebungen, in denen eine Sensorinstallation nicht möglich oder sinnvoll ist, aktiv abzufragen und zu erfassen. OT-Agenten nutzen aktive Abfragen, um duplizierte Netzwerke und Netzwerke mit aktiven Abfragen zu scannen, die unter Überwachte Netzwerke aufgeführt sind. Auf diese Weise kann der Agent, der auf einem Windows-basierten Gateway, einer Engineering-Workstation oder einer Mensch-Maschine-Schnittstelle (HMI) ausgeführt wird, kritische OT-/IoT- und eingebettete Geräte im Netzwerk identifizieren.

Jedes vom OT-Agent erfasste OT-Asset wird mit diesem spezifischen Agent als Erfassungsquelle verknüpft. So können Assets in Ihrem Netzwerk rückverfolgt und identifiziert werden.

Um Netzwerke scannen zu können, installieren und konfigurieren Sie zuerst den OT-Agent. In den folgenden Abschnitten wird beschrieben, wie Sie den OT-Agent installieren, konfigurieren und zum Ausführen von Scans verwenden.

  1. OT-Agent herunterladen

  2. OT-Agent installieren

  3. OT-Agent konfigurieren

  4. Scans ausführen

OT-Agents anzeigen

Die Seite OT-Agents fungiert als zentraler Knotenpunkt für das Monitoring und die Konfiguration der Agents, die Sie zur Überwachung Ihres Netzwerks bereitstellen.

So greifen Sie auf die Seite „OT-Agents“ zu:

  1. Klicken Sie im linken Navigationsmenü auf Datenerfassung > Datenquellen.

    Die Seite Datenquellen wird angezeigt.

  2. Klicken Sie auf die Registerkarte Agents.

    Die Seite Agents wird mit einer Liste Ihrer bereitgestellten OT-Agents angezeigt.

    Die Seite Agents enthält die folgenden Details:

    Parameter Beschreibung
    IP/Host Die IPv4-Adresse des Computers, auf dem der OT-Agent installiert ist.
    Status

    Der Status des Agent:

    • Verbunden

    • Angehalten

    • Getrennt

    • Konfiguration ausstehend

    • Genehmigung ausstehend

    • Verbindung wird vorbereitet

    • Warten auf Verbindung

    • Aktualisierung läuft

    • Scan läuft

    Ergebnis des letzten Scans Der Status des letzten Scans: Abgeschlossen oder Fehlgeschlagen.
    Aktive Abfragenetzwerke Die spezifischen Netzwerksegmente, auf die OT-Agents im aktuellen Scan abzielen.
    Agent-Name Der eindeutige Name, der dem OT-Agent zugewiesen wurde.
    Host-Asset Ein direkter Link zur Seite mit Details des Host-Assets.
    Scan-Zeitplan Die für den Scan konfigurierte Frequenz. In der Spalte wird Deaktiviert angezeigt, wenn keine Zeitpläne vorhanden sind.
    Letzter Scan Das Datum und die Uhrzeit der Initiierung des letzten Scans.
    Dauer des letzten Scans Die Zeit, die bis zum Abschluss des letzten Scans vergangen ist.
    Zugangsdaten Die Zugangsdaten, die die Agents zum Scannen der Geräte verwenden.
    Gemeldete Assets Die Anzahl der im Scan erkannten Assets.
    Agent-Version Die Version des OT-Agent.
    OTD-Version Die Version der OT Discovery-Engine.
    Host-Betriebssystem Das Betriebssystem auf dem Hostcomputer.

OT-Agent installieren

Erforderliche OT Security-Benutzerrolle: Administrator

Installieren Sie den OT-Agent auf einem Windows-Computer, um OT-Umgebungen zu scannen.

Bevor Sie beginnen

  • Laden Sie den OT-Agent aus dem Tenable Download-Portal herunter.

  • Dazu müssen Sie auf dem Windows-Computer über Administratorrechte verfügen.

Hinweis: Die Standardports für Kopplung und Verbindung sind 443 bzw. 28306. Informationen zu Ports finden Sie unter Überlegungen zur Firewall.

So installieren Sie den OT-Agent:

  1. Übertragen Sie die Installationsdatei (Tenable-OT-Agent-version.msi) auf den Windows-Computer.

  2. Klicken Sie auf die .msi-Installationsdatei, um den Installationsassistenten zu öffnen.

  3. Klicken Sie im Fenster des OT-Agent-Setup-Assistenten auf Weiter.

    Das Fenster ICP-Details eingeben wird angezeigt.

  4. Wählen Sie eine der folgenden Optionen aus:

    • Dies ist die Standardoption. Wenn Sie diese Option ausgewählt haben, führen Sie die folgenden Schritte aus:

      1. Gehen Sie in OT Security zu Datenerfassung > Datenquellen.

        Die Seite Datenquellen wird angezeigt.

      2. Klicken Sie auf die Registerkarte Agents.

        Die Seite Agents wird angezeigt.

      3. Klicken Sie in der oberen rechten Ecke auf Kopplungsschlüssel generieren.

        Der Bereich Kopplungsschlüssel generieren wird angezeigt.

      4. Geben Sie im Feld ICP-IP/-Host die IP-Adresse oder den Hostnamen der ICP ein.

      5. Behalten Sie im Dropdown-Feld Ablauffrist den Standardwert von 90 Tagen bei oder legen Sie fest, nach wie vielen Tagen der Schlüssel abläuft.

      6. Geben Sie im Feld Beschreibung eine Beschreibung für den Schlüssel ein.

      7. Klicken Sie auf Weiter.

        OT Security generiert den Kopplungsschlüssel.

      8. Klicken Sie auf die Schaltfläche , um den Kopplungsschlüssel zu kopieren.

      9. Klicken Sie auf Fertig.

        OT Security schließt den Bereich.

      10. Navigieren Sie zurück zum Windows-Hostcomputer.

      11. Fügen Sie im Feld Kopplungsschlüssel den Kopplungsschlüssel ein, den Sie aus der ICP kopiert haben.

    • Wenn Sie diese Option auswählen, werden die relevanten Felder angezeigt, in denen Sie die erforderlichen Details für die ICP angeben können.

      1. Geben Sie im Feld ICP-Adresse die IP-Adresse der ICP ein.

      2. Geben Sie im Feld ICP-Benutzername den Namen des ICP-Computers ein.

      3. Geben Sie im Feld ICP-Passwort das Passwort des ICP-Computers ein.

      4. Geben Sie im Feld API-Schlüssel den aus der ICP generierten API-Schlüssel an. Siehe API-Schlüssel generieren.

      5. Geben Sie im Feld Zertifikat-Fingerabdruck den aus der ICP generierten Fingerabdruck an. Siehe Zertifikate.

    Hinweis: Der Kopplungsschlüssel und die Zertifikate sind nur für den Kopplungsvorgang erforderlich. Nach Abschluss der Kopplung können Sie den Kopplungsschlüssel und das Zertifikat löschen.

  5. Klicken Sie auf Weiter.

    Das Fenster Zielordner wird angezeigt.

  6. Behalten Sie im Feld Install OT-Agent to: (OT-Agent installieren unter:) das Standardziel bei oder geben Sie den Pfad zur Installation des OT-Agent an und klicken Sie auf Weiter.

  7. Klicken Sie auf Installieren.

    Das Installationsprogramm installiert den OT-Agent und führt ihn auf der Registerkarte „Agents“ in OT Security mit dem Status Konfiguration ausstehend auf.

  8. Klicken Sie auf Fertig stellen, um das Installationsprogramm zu schließen.

    Hinweis: Sollten bei der Kopplung Probleme auftreten, können Sie mit der Option Reparieren im Installationsassistenten des OT-Agent die Kopplungsdetails erneut angeben.

  9. Um die Kopplungsanforderung automatisch zu genehmigen, aktivieren Sie den Umschalter Agent-Kopplungsanforderungen automatisch genehmigen.

    Wenn diese Option nicht aktiviert ist, gehen Sie wie folgt vor:

    • Klicken Sie mit der rechten Maustaste auf den neu hinzugefügten OT-Agent.

      Ein Menü wird angezeigt.

    • Aktivieren Sie das Kontrollkästchen neben dem OT-Agent.

      In OT Security wird das Menü Aktionen > Genehmigen aktiviert.

  10. Klicken Sie auf Genehmigen.

    OT Security genehmigt die Agent-Kopplung und ändert den Status in Konfiguration ausstehend.

    Hinweis: Prüfen Sie vor Ausführung des OT-Agent, dass seine Konfiguration abgeschlossen ist, auch wenn die Option Agent-Kopplungsanforderungen automatisch genehmigen aktiviert ist.

Nächste Schritte

OT-Agent konfigurieren

OT-Agent konfigurieren

Erforderliche OT Security-Benutzerrolle: Administrator

Nachdem Sie den OT-Agent installiert haben, konfigurieren Sie ihn, um seinen Namen zu definieren, die gescannten Netzwerke anzugeben und einen Zeitplan für aktive Abfragen festzulegen.

Bevor Sie beginnen

  • Installieren Sie den OT-Agent.

So konfigurieren Sie den OT-Agent:

  1. Führen Sie auf der Registerkarte Agents einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf den neu hinzugefügten OT-Agent.

      Ein Menü wird angezeigt.

    • Aktivieren Sie das Kontrollkästchen neben dem OT-Agent.

      In OT Security wird das Menü Aktionen > Konfigurieren aktiviert.

  2. Klicken Sie auf Konfigurieren.

    Daraufhin wird der Bereich Agent konfigurieren angezeigt.

  3. Geben Sie im Feld Name einen Namen für den Agent ein.

  4. Geben Sie im Feld Aktive Abfrage die IP-Adressen der zu scannenden Netzwerke an.

    Hinweis: Der OT-Agent scannt nur die IP-Adressen der aktiven Abfragenetzwerke, die zu den überwachten Netzwerken gehören (Umgebungseinstellungen > Netzwerkdefinitionen > Überwachte Netzwerke).

  5. (Optional) Aktivieren Sie den Umschalter Geplanten Scan ausführen, damit geplante Scans ausgeführt werden.

    Daraufhin wird das Dropdown-Feld Wiederholungen alle in OT Security aktiviert.

  6. (Optional) Geben Sie die erforderlichen Minuten, Stunden, Tage oder Wochen an.

  7. Wählen Sie im Dropdown-Menü Zugangsdaten die erforderlichen Zugangsdaten aus.

    Hinweis: In dieser Liste werden nur die Zugangsdaten angezeigt, die Sie unter Aktive Abfragen > Zugangsdaten erstellen. Weitere Informationen finden Sie unter Zugangsdaten.

  8. Klicken Sie auf Speichern.

    OT Security aktualisiert den Status des OT-Agent auf Verbunden.

Nächste Schritte

Scans ausführen

Scans mit OT-Agent ausführen

Erforderliche OT Security-Benutzerrolle: Administrator

Wenn Sie einen Agent-Scan initiieren, werden die folgenden aktiven Abfragen ausgelöst:

  • Erfassung: Erkennt Live-Assets im überwachten Netzwerk.

  • Prüfung offener Ports: Scannt die am häufigsten verwendeten Ports der Clients, die für aktive Abfragen verwendet werden.

  • Erste Anreicherung: Identifiziert neu erfasste Assets mit Dynamic Fingerprinting Engine (DFE).

  • OT-Abfragen: Sammelt Geräteinformationen, wie z. B. den SPS-Ausführungsstatus und andere an die Backplane angeschlossene Module.

  • IT-Abfragen: Ruft Daten von IT-Geräten ab, die von OT Security überwacht werden.

Weitere Informationen finden Sie unter Aktive Abfragen verwalten.

So scannen Sie einen Agent:

  1. Führen Sie auf der Registerkarte Datenquellen > Agents einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf den neu hinzugefügten OT-Agent.

      Ein Menü wird angezeigt.

    • Aktivieren Sie das Kontrollkästchen neben dem OT-Agent.

      In OT Security wird die Schaltfläche Aktionen in der Kopfleiste aktiviert.

    Hinweis: Um Scans für mehrere Agents zu initiieren, wählen Sie mehrere OT-Agents aus und klicken Sie dann auf MassenaktionenJetzt scannen.

  2. Klicken Sie auf Aktionen > Jetzt scannen.

    Der Status des Agent ändert sich auf Scan läuft und das Scannen der angegebenen Netzwerke beginnt. Nachdem der Scan abgeschlossen wurde, klicken Sie in der Tabelle „Agents“ in der Spalte Gemeldete Assets auf den Link, um die gefilterten Ergebnisse auf der Seite Inventar anzuzeigen.

Scan abbrechen

Erforderliche OT Security-Benutzerrolle: Administrator

So stoppen Sie einen laufenden Scan:

  1. Führen Sie auf der Registerkarte Datenquellen > Agents einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf den Agent und wählen Sie Scan abbrechen aus.
    • Aktivieren Sie das Kontrollkästchen neben dem Agent und klicken Sie dann auf Aktionen > Scan abbrechen.

    OT Security beendet den Scan und in der Spalte Ergebnis des letzten Scans wird Fehlgeschlagen angezeigt.

OT-Agent aktualisieren

Erforderliche OT Security-Benutzerrolle: Administrator

Zum Hochladen der Datei erforderliche OT Security-Benutzerrolle: Administrator, Supervisor und Sicherheitsanalyst.

OT-Agents verwenden die OT Discovery-Engine (OTD) zum aktiven Scannen Ihrer Umgebung. Sie können die Versionen der OT Discovery-Engine entweder manuell oder automatisch über die Seite Agents aktualisieren.

Automatische Updates

Um die OTD-Versionen automatisch zu aktualisieren, wenn ein ICP-Update verfügbar ist, aktivieren Sie den Umschalter Automatische Updates. Der Umschalter ist standardmäßig deaktiviert. Wenn Sie Automatische Updates aktivieren, verschiebt OT Security automatisch die neueste OTD-Engine-Version zu verbundene Agents, sobald eine neue Version verfügbar ist.


Manuelle Updates

Verwenden Sie manuelle Updates, wenn Sie die OTD-Engines zwischen den offiziellen Releases aktualisieren oder mehrere Agents gleichzeitig aktualisieren müssen.

Bevor Sie beginnen

  • Laden Sie die OTD-Datei im Abschnitt Systemkonfiguration > Updates > Update der OT Discovery-Engine (OTD) hoch, wie unter Updates der OT Discovery-Engine (OTD) beschrieben.

  • Stellen Sie sicher, dass der OT-Agent online ist und der Status Verbunden lautet.

So aktualisieren Sie die OTD-Engine manuell:

  1. Klicken Sie in der linken Navigationsleiste auf Datenquellen > Agents.

    Die Registerkarte Agents wird angezeigt.

  2. Führen Sie eine der folgenden Aktionen aus, um Agents zu aktualisieren:

    • Klicken Sie mit der rechten Maustaste auf den Agent, den Sie aktualisieren möchten.

      Ein Menü wird angezeigt.

    • Aktivieren Sie das Kontrollkästchen neben dem Agent, den Sie aktualisieren möchten.

      In OT Security wird das Menü Aktionen aktiviert.

      Hinweis: Um Massenaktualisierungen von OTD-Engines durchzuführen, wählen Sie mehrere Agents aus und klicken Sie dann auf MassenaktionenAktualisieren.

  1. Klicken Sie auf Aktionen > Aktualisieren.

    Das Dialogfeld OTD-Version aktualisieren wird angezeigt.

  1. Klicken Sie auf Aktualisieren, um zu bestätigen.

    OT Security aktualisiert die OT Discovery-Engines auf die neueste Version.

OT-Agent löschen

Erforderliche OT Security-Benutzerrolle: Administrator

Durch die Deinstallation des OT-Agent vom Windows-Computer ändert sich der Status des Agent in OT Security auf Getrennt.

So löschen Sie einen OT-Agent:

  1. Öffnen Sie auf dem Windows-Computer das Installationsprogramm und klicken Sie auf Entfernen.

  2. Befolgen Sie die Schritte im Assistenten, um den Agent zu deinstallieren.

    Der OT-Agent wird vom Windows-Computer deinstalliert.

  3. Navigieren Sie in OT Security zur Registerkarte Datenquellen > Agents.

    OT Security aktualisiert den Status des Agent auf Getrennt.

  4. Führen Sie einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf den neu hinzugefügten OT-Agent.

      Ein Menü wird angezeigt.

    • Aktivieren Sie das Kontrollkästchen neben dem OT-Agent.

      In OT Security wird das Menü Aktionen > Löschen aktiviert.

      Hinweis: Um OT-Agents per Massenvorgang zu löschen, wählen Sie mehrere OT-Agents aus und klicken Sie dann auf MassenaktionenLöschen.

  5. Klicken Sie auf Löschen.

    OT Security löscht den OT-Agent.

    Hinweis: Wenn duplizierte Netzwerke zugeordnet sind, müssen Sie diese zuerst löschen, bevor Sie den Agent löschen.

OT-Agents mit CLI installieren

Erforderliche OT Security-Benutzerrolle: Administrator

Verwenden Sie CLI-Befehle, um einen OT-Agent mit Kopplungsschlüssel, ICP-Zugangsdaten oder API-Schlüssel zu installieren. Sie können OT-Agents über die CLI auch deinstallieren.

Bevor Sie beginnen

  • Laden Sie das Installationsprogramm für den OT-Agent aus dem Tenable-Download-Portal herunter.

Führen Sie den folgenden Befehl aus, um den OT-Agent mit einem Kopplungsschlüssel zu installieren:

Kopieren 
msiexec.exe /i "<OtAgentInstaller.msi>" /qn PAIRING_KEY="<PairingKey>"

Dabei gilt:

  • OtAgentInstaller.msi ist die Installationsdatei.

  • PairingKey ist der Schlüssel, den Sie auf der Registerkarte Datenerfassung > Datenquellen > Agents in OT Security generieren.

Beispiel:

Kopieren 
msiexec.exe /i "OtAgentInstaller.msi" /qn PAIRING_KEY="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxoxxxxxxxxxxxx"

Führen Sie den folgenden Befehl aus, um den OT-Agent mit Benutzernamen und Passwort zu installieren:

Kopieren 
msiexec.exe /i "<OtAgentInstaller.msi>" /qn ICP_ADDRESS="<IpAddress>" ICP_USERNAME="<Username>" ICP_PASSWORD="<Password>" ICP_FINGERPRINT="<CertFingerprint>"

Dabei gilt:

  • OtAgentInstaller.msi ist die Installationsdatei.

  • IpAddress ist die IP-Adresse der ICP.

  • Username ist der Benutzername zum Einloggen bei der ICP.

  • Password ist das ICP-Passwort.

  • CertFingerprint ist das Zertifikat, das Sie in OT Security generieren.

Beispiel:

Kopieren 
msiexec.exe /i "OtAgentInstaller.msi" /qn ICP_ADDRESS="XX.XXX.XX.XX" ICP_USERNAME="admin" ICP_PASSWORD="xxxxxxx" ICP_FINGERPRINT="XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX"

Führen Sie den folgenden Befehl aus, um den OT-Agent mit einem API-Schlüssel zu installieren:

Kopieren 
msiexec.exe /i "<OtAgentInstaller.msi>" /qn ICP_ADDRESS="<IpAddress>" ICP_APIKEY="<APIKey>" ICP_FINGERPRINT="<CertFingerprint>"

(Optionaler Parameter) INSTALLBASE='"<FullDirPath>"'

Dabei gilt:

  • OtAgentInstaller.msi ist die Installationsdatei.

  • IpAddress ist die IP-Adresse der ICP.

  • APIKey ist der aus der ICP generierte API-Schlüssel.

  • CertFingerprint ist das aus der ICP generierte Zertifikat.

  • FullDirPath ist der Pfad des Installationsverzeichnisses.

Beispiel 1:

Kopieren 
msiexec.exe /i "OtAgentInstaller.msi" /qn ICP_ADDRESS="XX.XXX.XX.XX" ICP_APIKEY="kxxxxxxxxxxxxxxxxx_xxxxxxxx=" ICP_FINGERPRINT="XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

Beispiel 2: Verwendung des INSTALLBASE-Parameters:

Kopieren 
msiexec.exe /i "OtAgentInstaller.msi" /qn ICP_ADDRESS="xx.xxx.xx.xx" ICP_APIKEY="xxxxxxxxxxxxxxx_xxxxxxxxxxx=" ICP_FINGERPRINT="XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX" INSTALLBASE='"C:\Program Files\AAA"'

Führen Sie den folgenden Befehl aus, um den OT-Agent zu deinstallieren:

Kopieren 
msiexec.exe /x "<OtAgentInstaller.msi>" /qn

Dabei gilt:

  • OtAgentInstaller.msi ist die Installationsdatei.

Geplante Scans für OT-Agents aktivieren, deaktivieren oder festlegen

Mit der Option Massenaktionen können Sie geplante Scans für mehrere OT-Agents gleichzeitig aktivieren oder deaktivieren.

Bevor Sie beginnen

  • Stellen Sie sicher, dass die OT-Agents online sind und in der Spalte Status Verbunden angezeigt wird.

So führen Sie Massenaktionen für geplante Agent-Scans durch:

  1. Wählen Sie in der Tabelle „Agents“ mehr als einen OT-Agent für den Scan aus.

    In OT Security wird Massenaktionen in der Kopfleiste aktiviert.

  2. Wählen Sie eine der folgenden Optionen aus:

    Option für Massenaktionen Beschreibung
    Geplanten Scan aktivieren Wählen Sie diese Option aus, um geplante Agent-Scans zu aktivieren. Der geplante Scan wird standardmäßig jede Minute ausgeführt.
    Geplanten Scan deaktivieren Wählen Sie diese Option aus, um geplante Agent-Scans zu deaktivieren.
    Geplanten Scan festlegen

    1. Um einen geplanten Scan zu konfigurieren, klicken Sie auf Massenaktionen > Geplanten Scan festlegen.

      Der Bereich Zeitplan festlegen wird angezeigt.

    2. Wählen Sie im Feld Wiederholung alle aus, wie oft der Scan wiederholt werden soll.

    3. Geben Sie die erforderlichen Minuten, Stunden, Tage oder Wochen an.

      Hinweis: Der hier angegebene Zeitplan setzt alle vorhandenen Zeitpläne für die Agents außer Kraft.

    4. Klicken Sie auf Speichern.