Verwalten aktiver Abfragen

Auf der Seite Verwaltung aktiver Abfragen können Sie aktive Abfragen konfigurieren und aktivieren. Tenable empfiehlt, die gesamte Abfragefunktionalität im Rahmen der Ersteinrichtung zu aktivieren. Sie können die einzelnen Abfragefunktionen jederzeit aktivieren/deaktivieren. Außerdem können Sie die Einstellungen anpassen, die steuern, wann und wie die Abfragen ausgeführt werden.

Zusätzlich zu den regelmäßig ausgeführten automatischen Abfragen gibt es auch Abfragen, die bei Bedarf initiiert werden können. Aktivieren Sie hierzu den Umschalter Manuelle Ausführung aktivieren in der Abfragekarte. Wenn Sie die Option Manuelle Ausführung aktivieren deaktivieren, werden Sie von OT Security aufgefordert, die Option zu überschreiben, wenn Sie Erneute Synchronisierung durchführen auf der Seite Asset-Details auswählen (Inventar > Alle Assets).

Weitere Informationen zur Abfragetechnologie finden Sie unter OT Security-Technologien.

Hinweis: OT Security kann Assets möglicherweise nicht identifizieren, wenn Sie Abfragen deaktivieren. OT Security verfolgt Geräte durch passives Monitoring sowie aktive Abfragen.

Tipp: Damit aktive Abfragen funktionieren, klicken Sie auf den Umschalter Engine für aktive Abfragen ist aktiviert. Nachdem Sie die aktiven Abfragen aktiviert haben, zeigt OT Security das Symbol  in der Kopfzeile an, um anzuzeigen, dass die Engine für aktive Abfragen ausgeführt wird. Um aktive Abfragen auszuführen, müssen Sie trotzdem jede einzelne Abfrage separat aktivieren.

Auf der Seite Verwaltung aktiver Abfragen werden Abfragen in die folgenden Typen eingeordnet. Für jeden Abfragetyp gibt es eine separate Abfrageregisterkarte mit einer entsprechenden Liste von Abfragen.

  • OT-Abfragen – Diese Abfragen wurden entwickelt, um Controller und eingebettete Geräte auf sichere Weise unter Verwendung ihrer proprietären Protokolle nach weiteren Informationen abzufragen. OT Security führt schreibgeschützte Abfragen durch, um Geräteinformationen zu sammeln, wie z. B. den SPS-Ausführungsstatus und andere an die Backplane angeschlossene Module. Es fragt Geräte ab, die auf proprietäre Protokollen lauschen, die von OT Security unterstützt werden. Zu den Abfragetypen gehören Identifizierungsabfrage, Backplane-Zuordnung, Detailabfrage, Statusabfrage und Code-Snapshots.

  • IT-Abfragen – Diese Abfragen rufen zusätzliche Datenpunkte von überwachten IT-Assets ab, die von OT Security beobachtet werden. Mit Ausnahme von NetBIOS erfordern diese IT-Abfragen Zugangsdaten.

    • Die NetBIOS-Abfrage versucht, alle Geräte zu erkennen, die im Broadcast-Bereich von OT Security Sensor oder OT Security selbst auf NetBIOS lauschen. Dieser Abfragetyp ist geeignet, um Windows-Geräte in der Nähe zu identifizieren.

    • Die SNMP-Abfrage verwendet SNMP V2- oder SNMP V3-Zugangsdaten, um Identifizierungsdetails von der Netzwerkinfrastruktur oder vernetzten Geräten anzufordern, die SNMP unterstützen. OT Security fragt die SNMP-Systembeschreibung und andere Parameter ab, um Asset-Kontext bereitzustellen und Fingerprinting zu unterstützen.

    • Die WMI-Detailabfrage ruft eine Vielzahl wichtiger Datenpunkte von Windows-basierten Systemen ab. Dazu muss das System, das von OT Security abgefragt wird, über ein Windows-Konto (lokal oder Domäne) mit ausreichenden Berechtigungen verfügen, um den WMI-Dienst (Windows-Verwaltungsinstrumentation) abzufragen.

    • WMI-USB-Statusabfragen ermitteln, ob Wechseldatenträger wie USB-Laufwerke oder tragbare Festplatten an das Windows-Gerät angeschlossen sind, z. B. eine Engineering-Workstation oder ein Engineering-Server. Diese Abfrage ist eng mit der Richtlinie Änderung der USB-Konfiguration auf Windows-Computern verbunden, da sie eine Voraussetzung für die ordnungsgemäße Funktion dieser Richtlinie ist.

    • Der Nessus-Basisscan ruft Systemdetails wie IP-Adresse, FQDN, Betriebssysteme und offene Ports ab.

    • Eine ARP-Abfrage (Abfrage über das Address Resolution Protocol) ruft die Hardwareadresse oder MAC-Adresse der Netzwerkschnittstelle für über IP verbundene Geräte in derselben Broadcast-Domäne ab.

  • Erfassung – Dies sind Abfragen, die Live-Assets in dem von OT Security überwachten Netzwerk erkennen.

    • Asset-Erfassung – Verwendet das Internet Control Message Protocol (ICMP) oder Pings, um IP-Adressen zu erkennen, die live sind und antworten.

    • Aktive Asset-Verfolgung – Versucht in regelmäßigen Abständen, ein bekanntes, überwachtes Asset anzupingen, um sicherzustellen, dass es noch aktiv und verfügbar ist.

    • Controller-Erfassung – Sendet eine Reihe von Multicast-Paketen an das Netzwerk, um Controller oder ICS-Geräte zu veranlassen, ihre Informationen direkt an OT Security zu senden.

    • Ping-Abfrage – Sendet ICMP-Pings (Internet Control Message Protocol), um zu überprüfen, ob ein Asset erreichbar ist.

    • DNS-Suche – Ruft die DNS-Serverdetails ab.

    • Port-Zuordnung – Ruft Details zu offenen Ports überwachter Assets ab.

  • Erste Anreicherung – Hierbei werden automatische OT Security-Abfragen auf der Grundlage bestimmter Kriterien oder Bedingungen durchgeführt. Auf Asset-Anreicherung basierende Abfragen finden immer dann statt, wenn Tenable ein Gerät erstmals passiv oder aktiv beobachtet. Bei aktivierter Asset-Anreicherung erstellt OT Security Fingerabdrücke und identifiziert das Gerät, sobald es im Netzwerk sichtbar wird.

  • Nessus-Scans – Der Tenable Nessus-Plugin-Scan startet einen erweiterten Nessus-Scan, der eine benutzerdefinierte Liste von Plugins für die Assets ausführt, die in der Liste der CIDRs und IP-Adressen angegeben sind. Weitere Informationen finden Sie unter Nessus-Plugin-Scans erstellen.

Benutzerdefinierte Abfragen erstellen

Für jeden Abfragetyp gibt es eine Systemstandard-Variation, die Sie regelmäßig oder bei Bedarf ausführen können. Sie können außerdem zusätzliche Variationen jeder Abfrage mit einer eigenen Konfiguration für verschiedene Projekte und Funktionen erstellen.

Sie können beispielsweise benutzerdefinierte Abfragen für die folgenden Szenarien konfigurieren:

  • Unterschiedliche Wartungszeiten für verschiedene Teile der Anlage

  • Unterschiedliche Projekte und Kritikalität für verschiedene Assets

  • Unterschiedliche Abfragen für OT-Funktionen und IT-Funktionen

So erstellen Sie eine Abfragevariation:

  1. Gehen Sie zu Aktive Abfragen > Abfrageverwaltung.

    Die Seite Verwaltung aktiver Abfragen wird angezeigt.

  2. Klicken Sie auf die Registerkarte des gewünschten Abfragetyps.

    OT Security zeigt den Abfragetyp mit der Liste der verfügbaren Abfragen an.

  3. Klicken Sie im Abschnitt des gewünschten Abfragetyps auf Abfragevariation erstellen.

    Der Bereich Abfragevariation erstellen wird angezeigt.

  4. Geben Sie im Feld Name einen Namen für die Abfrage ein.

  5. Wählen Sie im Dropdown-Feld Assets eine Asset-Gruppe aus.

    Hinweis: Sie können auch das Suchfeld verwenden, um nach einer bestimmten Gruppe zu suchen.

  6. Um die Abfrage zu wiederholen, klicken Sie auf den Umschalter Wiederkehrende Ausführung.

    OT Security aktiviert den Abschnitt Wiederholungen alle.

  7. Geben Sie eine Zahl ein und wählen Sie Tage oder Wochen im Dropdown-Feld aus. Für bestimmte Abfragen können Sie auch Minuten und Stunden festlegen.

    Wenn Sie Wochen auswählen, geben Sie die Wochentage an, an denen die Abfragen ausgeführt werden sollen.

  8. Legen Sie im Feld Um die Tageszeit fest, zu der die Abfragen ausgeführt werden sollen (im Format HH:MM:SS). Klicken Sie hierzu auf das Uhrsymbol und wählen Sie die Uhrzeit aus oder geben Sie die Uhrzeit manuell ein.

  9. (Nur für Asset-Erfassung) Geben Sie im Feld IP-Bereiche die IP-Adressen der Assets ein.

  10. (Nur für Erfassungsabfragen) Wählen Sie im Dropdown-Feld Anzahl an Assets, die gleichzeitig abgefragt werden die Anzahl der Assets aus (10, 20 oder 30).

  11. (Nur für Erfassungsabfragen) Wählen Sie im Dropdown-Feld Zeit zwischen Erfassungsabfragen die Zeit zwischen den Erfassungsabfragen aus (1 bis 3 Sekunden).

  12. Klicken Sie auf Speichern.

    OT Security fügt die Abfrage zur Tabelle Benutzerdefinierte Variationen hinzu.

    Siehe Abfragevariation ausführen.

Einschränkungen hinzufügen

Sie können die Ausführung von Abfragen für bestimmte Asset-Gruppen blockieren, wie z. B. IP-Bereiche, OT-Server, Tablets, medizinische Geräte, Domänencontroller usw. Sie können auch Einschränkungen auf bestimmte Protokolle (Clients) anwenden.

So fügen Sie Einschränkungen hinzu:

  1. Gehen Sie zu Aktive Abfragen > Abfrageverwaltung.

    Die Seite Verwaltung aktiver Abfragen wird angezeigt.

  2. Klicken Sie in der oberen rechten Ecke auf Einschränkungen hinzufügen.

    Das Fenster Einschränkungen hinzufügen wird angezeigt.

  3. Wählen Sie im Dropdown-Feld Blockierte Assets die Asset-Gruppen aus, die blockiert werden sollen.

    Hinweis: Sie können das Suchfeld verwenden, um nach bestimmten Asset-Gruppen zu suchen.

  4. Wählen Sie im Dropdown-Feld Eingeschränkte Clients die gewünschten Clients aus.

  5. Wählen Sie im Dropdown-Feld Ausfallzeitraum die Dauer aus, für die Sie die aktiven Abfragen sperren möchten. Die verfügbaren Optionen basieren auf Planungsgruppen. Standardoptionen: Keine, Arbeitszeiten (Working Hours).

  6. Klicken Sie auf Speichern.

    OT Security wendet die Einschränkungen für die spezifischen Clients und Asset-Gruppen an. Oben auf jeder Registerkarte wird ein Banner angezeigt, das darauf hinweist, dass Einschränkungen bestehen.

Abfragevariation bearbeiten

So bearbeiten Sie die Details einer Abfrage:

  1. Gehen Sie zu Aktive Abfragen > Abfrageverwaltung.

    Das Fenster Verwaltung aktiver Abfragen wird angezeigt.

  2. Wählen Sie in der Liste der Abfragen die zu bearbeitende Abfrage aus und führen Sie einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf die Abfrage und wählen Sie Bearbeiten aus.

    • Wählen Sie die Abfrage aus und klicken Sie auf Aktionen > Bearbeiten.

    Der Bereich Abfrage bearbeiten wird angezeigt.

  3. Ändern Sie die Abfrage nach Bedarf.

  4. Klicken Sie auf Speichern.

    OT Security speichert die Änderungen an der Abfragevariation.

Abfragevariation duplizieren

  1. Gehen Sie zu Aktive Abfragen > Abfrageverwaltung.

    Die Seite Abfrageverwaltung wird angezeigt.

  2. Wählen Sie in der Liste der Abfragen die zu kopierende Abfrage aus und führen Sie einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf die Abfrage und wählen Sie Duplizieren aus.

    • Wählen Sie die Abfrage aus und klicken Sie auf Aktionen > Duplizieren.

    Der Bereich Abfrage duplizieren mit Details der Abfrage wird angezeigt.

  3. Benennen Sie die Abfrage um und ändern Sie die Details nach Bedarf.

  4. Klicken Sie auf Speichern.

    OT Security speichert die Abfrage und zeigt sie in der Tabelle „Abfragen“ an.

Abfragevariation ausführen

Sie können aktive Abfragen bei Bedarf ausführen.

So führen Sie eine Abfrage aus:

  1. Gehen Sie zu Aktive Abfragen > Abfrageverwaltung.

    Die Seite Abfrageverwaltung wird angezeigt.

  2. Wählen Sie in der Liste der Abfragen die Abfrage aus, die Sie ausführen möchten, und führen Sie einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf die Abfrage und wählen Sie Jetzt ausführen aus.

    • Klicken Sie im Menü Aktionen auf Jetzt ausführen.

    In einer Meldung werden Sie aufgefordert, die Ausführung der Abfrage zu bestätigen.

  3. Klicken Sie auf OK.

    OT Security führt die ausgewählte Abfrage aus.

    Hinweis: Sie können die Option Trotzdem versuchen verwenden, um mit aktiven Abfragen für Geräten oder Netzwerke fortzufahren, und so das Limit für die Anzahl der aktiven Abfrageversuche überschreiben.

Abfrageprotokoll herunterladen

Sie können das Protokoll der letzten Ausführung einer Abfragevariation herunterladen. Mithilfe des Protokolls können Sie Probleme mit Assets oder Protokollen, die in der aktiven Abfrage enthalten sind, beheben.

So laden Sie das Protokoll der letzten Abfrage herunter:

  1. Gehen Sie zu Aktive Abfragen > Abfrageverwaltung.

    Das Fenster Abfrageverwaltung wird angezeigt.

  2. Wählen Sie in der Liste der Abfragen die Abfrage aus, deren Protokoll Sie herunterladen möchten, und führen Sie einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf die Abfrage und wählen Sie Protokoll der letzten Ausführung herunterladen aus.

    • Klicken Sie im Menü Aktionen auf Protokoll der letzten Ausführung herunterladen.

OT Security lädt das Protokoll der letzten aktiven Abfrage herunter.