Aktive Abfragen

Im Fenster Abfragen von OT Security können Sie die Abfragefunktionen konfigurieren und aktivieren. Eine allgemeine Erläuterung der Abfragetechnologie finden Sie unter OT Security-Technologien. Tenable empfiehlt, die gesamte Abfragefunktionalität im Rahmen der Ersteinrichtung zu aktivieren. Sie können die einzelnen Abfragefunktionen jederzeit aktivieren/deaktivieren. Außerdem können Sie die Einstellungen anpassen, die steuern, wann und wie die Abfragen ausgeführt werden.

Zusätzlich zur regelmäßigen Ausführung automatischer Abfragen besteht die Möglichkeit, Abfragen bei Bedarf zu initiieren. Klicken Sie hierzu auf den Umschalter neben der Abfrage.

Hinweis: Das Deaktivieren von Abfragen kann dazu führen, dass Assets nicht identifiziert werden. OT Security verfolgt Geräte durch passives Monitoring sowie aktive Abfragen.

Sie können Abfragen über die Seite Aktive Abfragen > Abfragen aktivieren und konfigurieren. Es gibt drei Optionen zur granularen Steuerung aktiver Abfragen: Manuell, Periodisch und System.

Manuell – Hiermit werden Abfragen gesteuert, die Sie ausführen können, wenn Sie ein einzelnes Asset durch Ausführen der Option Erneut synchronisieren für dieses Asset überprüfen. Mit manuellen Abfragen können Sie die Produktfunktionalität für bestimmte Arten von Abfragen steuern, wenn Sie ein einzelnes überwachtes Asset überprüfen. Wenn Sie die Optionen für die erneute Synchronisierung aktivieren, können Sie diese Abfragen bei der Überprüfung eines Assets durchführen. Weitere Informationen zur Option Erneut synchronisieren finden Sie unter Erneute Synchronisierung durchführen.

Periodisch – Dies sind Abfragen, die in einem regelmäßigen, von Ihnen festgelegten Zeitintervall ausgeführt werden. Nach der Aktivierung wird die Abfrage gemäß dem Zeitplan ausgeführt, den Sie in der Spalte Wird wiederholt auf dieser Seite angegeben. Sie können alle periodischen Abfragen bei Bedarf ausführen, indem Sie mit der rechten Maustaste darauf klicken und Jetzt ausführen auswählen. Dies hat keine Auswirkungen auf den Zeitplan oder die Zeit, die für die nächste Abfrage festgelegt ist. Alle Abfragen, die Sie manuell erstellen, sind periodische Abfragen.

System – Dies sind Abfragen, die von OT Security automatisch basierend auf bestimmten Kriterien oder Bedingungen verarbeitet werden. Beispielsweise finden auf Asset-Anreicherung basierende Abfragen immer dann statt, wenn Tenable ein Gerät zunächst passiv oder aktiv beobachtet. Bei aktivierter Asset-Anreicherung erstellt OT Security Fingerabdrücke und identifiziert das Gerät, sobald es im Netzwerk sichtbar wird. Asset-Anreicherung steuert auch die per Richtlinie ausgelösten Snapshots, für die die Richtlinienkonfiguration für Controller-basierte Ereignisse gilt.

Hinweis: Wenn Sie Asset-Anreicherung verwenden, stellen Sie sicher, dass die folgenden Abfragen aktiviert sind:
  • Port-Zuordnung – Fortlaufend
  • Identifizierungsabfrage – Asset-Anreicherung

Die Tabelle „Abfragen“ enthält die folgenden Informationen:

Spalte Beschreibung
Umschalter zum Aktivieren oder Deaktivieren Klicken Sie auf den Umschalter neben dem Abfragenamen, um die Abfrage zu aktivieren oder zu deaktivieren.
Name Name der Abfrage
Vorgang Der Abfragetyp: Erfassung, Periodisch oder System
Status Der Status der Abfrage: Erstellt, Laufend, Wird vorbereitet, Abgeschlossen und Fehlgeschlagen
Assets

Die Asset-Gruppen, die von dieser Abfrage abgefragt werden müssen

Hinweis: Sie können Ihre eigenen Asset-Gruppen erstellen, um sie in den von Ihnen konfigurierten Abfragen zu verwenden.

Abfrage erstellen

Sie können Abfragen für verschiedene Projekte und Funktionen erstellen, um zu steuern, welche Abfrage wann ausgeführt wird.

Sie können beispielsweise benutzerdefinierte Abfragen für die folgenden Szenarien konfigurieren:

  • Unterschiedliche Wartungszeiten für verschiedene Teile der Anlage

  • Unterschiedliche Projekte und Kritikalität für verschiedene Assets

  • Unterschiedliche Abfragen für OT-Funktionen und IT-Funktionen

So erstellen Sie eine Abfrage:

  1. Gehen Sie zu Aktive Abfragen > Abfragen.

    Das Fenster Abfragen wird angezeigt.

  2. Klicken Sie auf Abfrage erstellen.

    Der Bereich Abfrage erstellen wird angezeigt.

  3. Wählen Sie den gewünschten Abfragetyp unter der folgenden Optionen aus:

    • Erfassung – Dies sind Abfragen, die Live-Assets in dem von OT Security überwachten Netzwerk erkennen.

      • Bei der Asset-Erfassung wird das Internet Control Message Protocol (ICMP) oder Ping verwendet, um IP-Adressen zu erkennen, die live sind und antworten.

      • Bei der aktiven Asset-Verfolgung wird regelmäßig versucht, ein bekanntes, überwachtes Asset anzupingen, um sicherzustellen, dass es noch aktiv und verfügbar ist.

      • Bei der Controller-Erfassung wird eine Reihe von Multicast-Paketen an das Netzwerk gesendet, um Controller oder ICS-Geräte zu veranlassen, ihre Informationen direkt an OT Security zu senden.

    • IT – Mit diesen Abfragen können zusätzliche Datenpunkte von überwachten IT-Assets abgerufen werden, die von OT Security beobachtet wurden. Mit Ausnahme von NetBIOS erfordern diese IT-Abfragen Zugangsdaten.

      • Die NetBIOS-Abfrage versucht, alle Geräte zu erkennen, die im Broadcast-Bereich von OT Security Sensor oder OT Security selbst auf NetBIOS lauschen. Dieser Abfragetyp ist geeignet, um Windows-Geräte in der Nähe zu identifizieren.

      • Die SNMP-Abfrage verwendet SNMP V2- oder SNMP V3-Zugangsdaten, um Identifizierungsdetails von der Netzwerkinfrastruktur oder vernetzten Geräten anzufordern, die SNMP unterstützen. OT Security fragt die SNMP-Systembeschreibung und andere Parameter ab, um Asset-Kontext bereitzustellen und Fingerprinting zu unterstützen.

      • Die WMI-Detailabfrage ruft eine Vielzahl wichtiger Datenpunkte von Windows-basierten Systemen ab. Dazu muss das abgefragte System über ein Windows-Konto (lokal oder Domäne) mit ausreichenden Berechtigungen verfügen, um den WMI-Dienst (Windows-Verwaltungsinstrumentation) abzufragen.

      • WMI-USB-Statusabfragen ermitteln, ob Wechseldatenträger wie USB-Laufwerke oder tragbare Festplatten an das Windows-Gerät angeschlossen sind, z. B. eine Engineering-Workstation oder ein Engineering-Server. Diese Abfrage ist eng mit der Richtlinie Änderung der USB-Konfiguration auf Windows-Computern verbunden, da sie eine Voraussetzung für die ordnungsgemäße Funktion dieser Richtlinie ist.

    • OT – Diese Abfragen wurden entwickelt, um Controller und eingebettete Geräte auf sichere Weise unter Verwendung ihrer proprietären Protokolle nach weiteren Informationen abzufragen. OT Security führt schreibgeschützte Abfragen durch, um Geräteinformationen zu sammeln. In einigen Fällen fragt OT Security mehr als nur Details zur Geräteidentifizierung ab und kann Informationen wie z. B. den SPS-Ausführungsstatus oder andere an die Backplane angeschlossene Module anzeigen. OT Security versucht, Geräte abzufragen, die auf proprietäre Protokollen lauschen, die von OT Security unterstützt werden. Weitere Informationen zum Anpassen von Abfragen oder verwendeten Protokollen finden Sie in der Dokumentation.

  4. Klicken Sie auf Weiter.

    Der Bereich Abfragedefinition wird angezeigt.

  5. Geben Sie im Feld Name einen Namen für die Abfrage ein.

  6. Geben Sie im Feld Beschreibung eine Beschreibung für die Abfrage ein.

  7. Wählen Sie im Dropdown-Feld Assets die Assets aus.

    Hinweis: Sie können auch das Suchfeld verwenden, um nach einem bestimmten Asset zu suchen.
  8. Geben Sie im Abschnitt Wiederholung alle eine Zahl ein und wählen Sie Tage oder Wochen im Dropdown-Feld aus. Für bestimmte Abfragen können Sie auch Minuten und Stunden festlegen.

    Wenn Sie Wochen auswählen, geben Sie die Wochentage an, an denen die Abfragen ausgeführt werden sollen.

  9. Legen Sie im Feld Um die Tageszeit fest, zu der die Abfragen ausgeführt werden sollen (im Format HH:MM:SS). Klicken Sie hierzu auf das Uhrsymbol und wählen Sie die Uhrzeit aus oder geben Sie die Uhrzeit manuell ein.

  10. Klicken Sie auf den Umschalter Abfragestatus, um die Abfrage zu aktivieren.

  11. (Nur für Asset-Erfassung) Geben Sie im Feld IP-Bereiche die IP-Adressen der Assets ein.

  12. (Nur für Erfassungsabfragen) Wählen Sie im Dropdown-Feld Anzahl an Assets, die gleichzeitig abgefragt werden die Anzahl der Assets aus. Verfügbare Optionen: 10 Assets, 20 Assets oder 30 Assets.

  13. (Nur für Erfassungsabfragen) Wählen Sie im Dropdown-Feld Zeit zwischen Erfassungsabfragen die Zeit zwischen den Erfassungsabfragen aus. Verfügbare Optionen: 1 Sekunde, 2 Sekunden oder 3 Sekunden.

Einschränkungen hinzufügen

Sie können die Ausführung von Abfragen für bestimmte Assets blockieren, wie z. B. IP-Bereiche, OT-Server, Tablets, medizinische Geräte, Domänencontroller usw.

So fügen Sie Einschränkungen hinzu:

  1. Gehen Sie zu Aktive Abfragen > Abfragen.

    Das Fenster Abfragen wird angezeigt.

  2. Wählen Sie im Dropdown-Feld Blockierte Assets die Assets aus, die blockiert werden sollen.

    Hinweis: Sie können das Suchfeld verwenden, um nach bestimmten Assets zu suchen.
  3. Wählen Sie im Dropdown-Feld Eingeschränkte Clients die erforderlichen Clients aus.

  4. Wählen Sie im Dropdown-Feld Ausfallzeitraum die Dauer aus, für die Sie die Assets sperren möchten. Verfügbare Optionen: Keine, Arbeitszeiten (Working Hours).

  5. Klicken Sie auf Speichern.

    OT Security wendet die Einschränkungen für die spezifischen Clients und Assets an.

Abfrage anzeigen

So zeigen Sie die Details einer Abfrage an:

  1. Gehen Sie zu Aktive Abfragen > Abfragen.

    Das Fenster Abfragen wird angezeigt.

  2. Führen Sie in der Zeile der Abfrage, die Sie anzeigen möchten, einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf die Abfrage und wählen Sie Anzeigen aus.

    • Wählen Sie die Abfrage und dann im Menü Aktionen die Option Anzeigen aus.

    Es wird ein Fenster mit den Details der Abfrage angezeigt.

Abfrage bearbeiten

So bearbeiten Sie die Details einer Abfrage:

  1. Gehen Sie zu Aktive Abfragen > Abfragen.

    Das Fenster Abfragen wird angezeigt.

  2. Wählen Sie in der Liste der Abfragen die Abfrage aus, die Sie bearbeiten möchten, und führen Sie einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf die Abfrage und wählen Sie Bearbeiten aus.

    • Wählen Sie die Abfrage und dann im Menü Aktionen die Option Bearbeiten aus.

    Der Bereich Abfrage bearbeiten wird angezeigt.

    Hinweis: Sie können eine Abfrage auch über die Seite Abfragedetails bearbeiten.
  3. Ändern Sie die Abfrage nach Bedarf.

  4. Klicken Sie auf Speichern.

Abfrage duplizieren

Hinweis: Duplizierte Abfragen können nur für periodische Abfragen erstellt werden.
  1. Gehen Sie zu Aktive Abfragen > Abfragen.

    Das Fenster Abfragen wird angezeigt.

  2. Wählen Sie in der Liste der Abfragen die Abfrage aus, von der Sie eine Kopie erstellen möchten, und führen Sie einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf die Abfrage und wählen Sie Duplizieren aus.

    • Wählen Sie die Abfrage und dann im Menü Aktionen die Option Duplizieren aus.

    Der Bereich Abfrage duplizieren mit Details der Abfrage wird angezeigt.

    Hinweis: Sie können eine Abfrage auch über die Seite „Abfragedetails“ duplizieren.
  3. Benennen Sie die Abfrage um und ändern Sie die Details nach Bedarf.

  4. Klicken Sie auf Speichern.

    OT Security speichert die Abfrage in der Tabelle „Abfragen“.

Abfrage ausführen

Bei Bedarf können Sie periodische Abfragen ausführen.

Hinweis: Die Option Jetzt ausführen ist nur für periodische Abfragen verfügbar.

So führen Sie eine Abfrage aus:

  1. Gehen Sie zu Aktive Abfragen > Abfragen.

    Das Fenster Abfragen wird angezeigt.

  2. Wählen Sie in der Liste der Abfragen die Abfrage aus, die Sie ausführen möchten, und führen Sie einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf die Abfrage und wählen Sie Jetzt ausführen aus.

    • Wählen Sie die Abfrage und dann im Menü Aktionen die Option Jetzt ausführen aus.

    In einer Meldung werden Sie aufgefordert, die Ausführung der Abfrage zu bestätigen.

  3. Klicken Sie auf OK.

    OT Security führt die ausgewählte Abfrage aus.