Umgebungskonfiguration

Asset-Einstellungen

Die Seite Asset-Einstellungen umfasst die folgenden Abschnitte:

Überwachte Netzwerke

Die Konfiguration des überwachten Netzwerks enthält eine Reihe von IP-Bereichen (CIDRs/Subnetze), die die Überwachungsgrenzen für OT Security definieren. OT Security ignoriert Assets außerhalb der konfigurierten Bereiche.

Standardmäßig konfiguriert OT Security drei öffentliche Standardbereiche: 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 sowie den Link-Local-Bereich 169.254.0.0/16 (APIPA).

So deaktivieren Sie einen der Standardbereiche oder fügen für Ihr Netzwerk geeignete Bereiche hinzu:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > Asset-Einstellungen.

    Das Fenster Asset-Einstellungen wird angezeigt.

  2. Klicken Sie im Abschnitt Überwachtes Netzwerk auf Bearbeiten.

    Der Bereich Überwachtes Netzwerk wird angezeigt.

  3. Wählen Sie die erforderlichen Standard-IP-Bereiche aus und/oder fügen Sie im Textfeld Zusätzliche IP-Bereiche entsprechende Einträge (ein IP-Bereich pro Zeile) hinzu.

  4. Klicken Sie auf Speichern.

    OT Security speichert die Konfiguration des überwachten Netzwerks.

Duplizierte interne Netzwerke

Wenn eine IP-Adresse mehreren Geräten zugewiesen wird, kommt es zu überlappenden IP-Bereichen. Überlappende IP-Bereiche kommen in Fertigungsumgebungen häufig vor, was die genaue Identifizierung und Verfolgung von Assets erschwert und dadurch zu Sichtbarkeitslücken, falschen Asset-Zuordnungen usw. führen kann. Sie können Ihre überlappenden Netzwerke definieren, damit OT Security Assets auch dann genau verfolgen kann, wenn IP-Adressen in verschiedenen Segmenten wiederverwendet werden.

Dupliziertes Netzwerk hinzufügen

Bevor Sie beginnen

  • Vergewissern Sie sich, dass Sie authentifizierte Sensoren gekoppelt haben.

    Hinweis: OT Security unterstützt keine duplizierten Netzwerke auf nicht authentifizierten Sensoren.

So definieren Sie die duplizierten Netzwerke in Ihrer Umgebung:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > Asset-Einstellungen.

    Die Seite Asset-Einstellungen wird angezeigt.

  2. Klicken Sie im Abschnitt Duplizierte interne Netzwerke auf Netzwerk hinzufügen.

    Das Fenster Dupliziertes Netzwerk hinzufügen mit den Netzwerkdetails wird angezeigt.

    Hinweis: OT Security verwendet den IP-Bereich 240.0.0.0/4 als internen Reservepool für die Zuordnung von IP-Adressen zur NAT-IP-Zuteilung. Um diesen Reservepoolbereich zu ändern, wenden Sie sich an Tenable Support.

  3. Geben Sie im Feld Duplizierter IP-Bereich den IP-Bereich im CIDR-Format ein, zum Beispiel 192.168.0.0/24.

  4. Wählen Sie im Dropdown-Feld Duplikate (Sensoren) die Sensoren aus, die dem duplizierten IP-Bereich zugeordnet sind.

  5. Klicken Sie auf Weiter.

    Das Fenster Bestätigung wird angezeigt.

  6. (Optional) Aktivieren Sie das Kontrollkästchen Assets löschen.

    Tipp: Um alle ausgewählten Assets in ihre eigenen Netzwerke aufzuteilen, empfiehlt Tenable, dass Sie OT Security erlauben, die Assets zu löschen und nach dem Start erneut zu erfassen. Wenn Sie das Kontrollkästchen Assets löschen nicht aktivieren, verbleiben die Assets in ihrem aktuellen IP-Bereich, was zu Inkonsistenzen oder unerwartetem Verhalten führen kann.

  7. Klicken Sie auf Speichern.

    OT Security speichert den duplizierten IP-Bereich und zeigt ihn in der Tabelle „Duplizierte interne Netzwerke“ an.

    Wichtig: Nachdem Sie die Konfiguration der duplizierten Netzwerke abgeschlossen haben, empfiehlt Tenable einen Neustart von OT Security, bevor Sie die Sensoren aktivieren.

  8. Starten Sie OT Security neu.

  9. Gehen Sie zu Lokale Einstellungen > Sensoren:

    Hinweis: Die IP-Bereiche (CIDRs) für die aktive Abfrage sind diejenigen, die Sie in den Einstellungen unter Duplizierte interne Netzwerke konfiguriert haben.

    1. Führen Sie einen der folgenden Schritte aus:

      • Einzelner Sensor: Klicken Sie mit der rechten Maustaste auf den Sensor und klicken Sie auf Bearbeiten. Klicken Sie im Bereich Sensor bearbeiten auf den Umschalter Aktive Sensorabfragen, um aktive Abfragen zu aktivieren.

      • Mehrere Sensoren: Wählen Sie alle benötigten Sensoren aus. Wählen Sie in der Kopfzeile Massenaktionen > Aktive Abfragen aktivieren aus.

    2. Klicken Sie mit der rechten Maustaste auf die Sensoren und aktivieren Sie sie, indem Sie den Status von Angehalten in Verbunden ändern.

Nächste Schritte

Nach der Konfiguration der duplizierten Netzwerke und dem Neustart von OT Security werden die Assets mit ihren tatsächlichen IP-Adressen in der Tabelle Alle Assets angezeigt. Wenn Sie eine IP-Adresse eingeben, die einem duplizierten Netzwerk zugewiesen ist, müssen Sie außerdem den entsprechenden Sensor auswählen. Beispiel: unter Aktive Abfrage > Erfassung/Nessus-Scan > Scan erstellen oder unter Zugangsdaten > Zugangsdaten testen:

  • Zeigen Sie unter Inventar > Alle Assets die tatsächlichen IP-Adressen und die Quelle der Assets in der Tabelle „Alle Assets“ an. Beispielsweise zwei Assets, die dieselbe IP-Adresse haben, aber verschiedenen Sensoren zugeordnet sind.

  • Wählen Sie bei der Konfiguration einer aktiven Abfrage mit duplizierten Netzwerken unter Aktive Abfragen > Abfrageverwaltung > Erfassung oder Nessus-Scans > Scan erstellen Relevante Sensoren für diesen IP-Bereich aus. Dadurch können Sie die Abfrage für Assets ausführen, die einem bestimmten Sensor zugeordnet sind, und die anderen Sensoren ausschließen.

    Hinweis: OT Security aktiviert das Kontrollkästchen Relevante Sensoren nur für IP-Bereiche in duplizierten Netzwerken. Für alle anderen IP-Bereiche bleibt es deaktiviert.

  • Wenn Sie beim Konfigurieren der Zugangsdaten unter Aktive Abfragen > Zugangsdaten > Zugangsdaten testen einen IP-Bereich in einem duplizierten Netzwerk eingeben, müssen Sie auch die zugehörigen Sensoren im Feld Duplikat (Sensor) auswählen.

  • Um Asset-Gruppen für Assets zu erstellen, die Teil duplizierter Netzwerke sind, verwenden Sie die Option Asset-Auswahl und identifizieren Sie die spezifische IP anhand der Spalte Quelle in der Tabelle „Assets“.

Die Tabelle „Duplizierte interne Netzwerke“ enthält die folgenden Details:

Spalte Beschreibung
CIDR Der IP-Bereich des duplizierten Netzwerks.
Sensoren Die Sensoren, die dem IP-Bereich des duplizierten Netzwerks zugeordnet sind.
In Verwendung – Erfassungsabfragen Gibt an, ob die CIDRs in mindestens einer Asset-Erfassung (aktive Abfrage) verwendet werden. Wenn ja, entfernen Sie das CIDR aus der aktiven Erfassung, bevor Sie das duplizierte Netzwerk löschen, das dieses CIDR enthält.
In Verwendung – Nessus-Scans Gibt an, ob die CIDRs in mindestens einem Nessus-Scan verwendet werden. Wenn ja, entfernen Sie das CIDR aus dem Nessus-Scan, bevor Sie das duplizierte Netzwerk löschen, das dieses CIDR enthält.

Aktionen für duplizierte interne Netzwerke

So bearbeiten Sie ein dupliziertes Netzwerk:

  1. Wählen Sie das duplizierte Netzwerk, das Sie bearbeiten möchten, im Abschnitt Duplizierte interne Netzwerke aus.

  2. Führen Sie einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf das duplizierte Netzwerk und wählen Sie Bearbeiten aus.

    • Wählen Sie in der oberen rechten Ecke des Abschnitts Aktionen > Bearbeiten aus.

      Der Bereich Dupliziertes Netzwerk bearbeiten mit den Details des ausgewählten duplizierten Netzwerks wird angezeigt.

  3. Ändern Sie die Werte nach Bedarf.

  4. Klicken Sie auf Weiter.

  5. Klicken Sie im Bereich Bestätigung auf Speichern.

    OT Security speichert die Änderungen am duplizierten Netzwerk.

Sie können duplizierte Netzwerke, die Sie nicht mehr benötigen, löschen.

So löschen Sie ein dupliziertes Netzwerk:

  1. Wählen Sie das duplizierte Netzwerk, das Sie löschen möchten, im Abschnitt Duplizierte interne Netzwerke aus.

  2. Führen Sie einen der folgenden Schritte aus:

    • Klicken Sie mit der rechten Maustaste auf das duplizierte Netzwerk und wählen Sie Löschen aus.

    • Wählen Sie in der oberen rechten Ecke des Abschnitts Aktionen > Löschen aus.

OT Security löscht das duplizierte Netzwerk.

  1. Entfernen Sie die CIDRs aus dem Nessus-Scan/Active Discovery.

  2. Löschen Sie den Sensor aus der Konfiguration des duplizierten Netzwerks.

  3. Im Falle eines Austauschs legen Sie die neue Sensor-ID mithilfe der API fest und ersetzen Sie den alten Sensor.

  4. Löschen Sie den alten Sensor auf der Seite Sensoren.

Assets manuell hinzufügen

Um Ihr Inventar zu verfolgen, sollten Sie eventuell einige zusätzliche Assets anzeigen, die Sie besitzen, auch wenn diese Assets noch nicht von OT Security erkannt wurden. Sie können diese Assets manuell zu Ihrem Inventar hinzufügen, indem Sie eine CSV-Datei herunterladen und bearbeiten und die Datei dann in das System hochladen. Sie können nur Assets hochladen, deren IP-Adressen noch nicht von einem vorhandenen Asset im System verwendet werden. Falls das System ein Asset erkennt, das mit derselben IP über das Netzwerk kommuniziert, verwendet es die über das erkannte Asset abgerufenen Informationen und überschreibt die zuvor hochgeladenen Informationen. Das System behandelt das Asset als reguläres Asset, sobald es erkennt, dass das Asset im Netzwerk kommuniziert.

Die IP-Adressen hochgeladener Assets werden als Teil der Systemlizenzierung gezählt.

Für hochgeladene Assets wird der Risikowert 0 angezeigt, bis OT Security diese Assets erkennt.

Hinweis: Für manuell hinzugefügte Assets werden keine Ereignisse erkannt, bis OT Security erkennt, dass sie über das Netzwerk kommunizieren.

So fügen Sie Assets manuell hinzu:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > Asset-Einstellungen.

    Der Bildschirm Asset-Einstellungen wird angezeigt.

  2. Wählen Sie unter Assets manuell hinzufügen im Menü Aktionen die Option CSV-Vorlage herunterladen aus.

    OT Security lädt das Vorlagendokument „tot_Assets“ herunter.

  3. Öffnen Sie das Vorlagendokument „tot_Assets“.

  4. Bearbeiten Sie die Vorlage „tot_Assets“ genau gemäß den Anweisungen in der Datei und behalten Sie nur die Spaltenüberschriften (Name, Typ usw.) und die von Ihnen eingegebenen Werte bei.

  5. Speichern Sie die bearbeitete Datei.

  6. Kehren Sie zum Bildschirm Asset-Einstellungen zurück.

  7. Wählen Sie im Menü Aktionen die Option CSV-Datei hochladen aus, navigieren Sie zu der gewünschten CSV-Datei und öffnen Sie sie, um sie hochzuladen.

  8. Klicken Sie unter Assets manuell hinzufügen auf Bericht herunterladen.

    Daraufhin wird eine CSV-Datei mit dem Bericht angezeigt, die Erfolge und Fehler in der Spalte „Ergebnis“ angibt. Einzelheiten zu Fehlern befinden sich in der Spalte „Fehler“.

SCD-Dateien

Die SCD-Datei (Substation Configuration Description) enthält die vollständigen kommunikationsbezogenen Details für eine Unterstation. Sie können jetzt eine SCD-Datei in OT Security hochladen und Einblick in Ihre Assets, die IEC 61850-Konfiguration und Sicherheitserkenntnisse über Ihre Umgebung erhalten.

Basierend auf den Informationen in der SCD-Datei meldet OT Security Feststellungen im Zusammenhang mit einer Fehlkonfiguration der Unterstation wie z. B. folgende:

  • Zugriff auf MMS-Berichte (Manufacturing Message Specification) von nicht autorisierten Clients

  • Nicht autorisierte Clients, die in der SCD-Datei nicht erwähnt werden und versuchen, MMS-Berichte zu abonnieren

Hinweis: OT Security unterstützt für SCD-Dateien nur die folgenden Formate:
  • Substation Configuration Language(SCL)-Versionen 1.0 und 2.0
  • SCD-Dateien mit nur einer Unterstation

So laden Sie eine SCD-Datei hoch:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > Asset-Einstellungen.

    Die Seite Asset-Einstellungen wird angezeigt.

  2. Klicken Sie im Abschnitt SCD-Dateien auf Hochladen.

    Hinweis: Sie können nur eine SCD-Datei pro Unterstation hochladen. Die zuletzt hochgeladene Datei mit demselben Unterstationsnamen überschreibt die vorherige Datei.

  3. Navigieren Sie zu der hochzuladenden Datei und wählen Sie sie aus.

    OT Security lädt die SCD-Datei hoch und zeigt die Asset-Details auf den Registerkarten Inventar > Details und IEC 61850 an. Jede Fehlkonfiguration in der SCD-Datei löst ein Ereignis aus und führt dazu, dass oben auf den Seiten Details und IEC 61850 eine Fehlermeldung zu nicht autorisiertem Zugriff angezeigt wird.

  4. (Optional) Um die Feststellungsdetails herunterzuladen, klicken Sie in der Fehlermeldung auf Details herunterladen.

    OT Security lädt die Details im CSV-Format herunter.

IP-Adresse für IoT-Assets abrufen

Beim Importieren von Assets von einem IoT-Connector importiert OT Security standardmäßig die IP-Adresse zusammen mit der MAC-Adresse der Geräte. Um nur die MAC-Adresse zu importieren, deaktivieren Sie die Option IP-Adresse für IoT-Assets abrufen. Weitere Informationen finden Sie unter IoT-Connectors.

Ereigniscluster

Um die Überwachung von Ereignissen zu vereinfachen, werden mehrere Ereignisse mit denselben Merkmalen in einem einzigen Cluster zusammengefasst. Das Clustering basiert auf dem Ereignistyp (d. h. Ereignisse, die dieselbe Richtlinie nutzen), Quell- und Ziel-Assets usw.

Damit Ereignisse geclustert werden können, müssen sie innerhalb der folgenden konfigurierten Zeitintervalle generiert werden:

  • Maximale Zeit zwischen aufeinanderfolgenden Ereignissen – Legt das maximale Zeitintervall zwischen Ereignissen fest. Wenn diese Zeit verstrichen ist, werden aufeinanderfolgende Ereignisse nicht geclustert.

  • Maximale Zeit zwischen erstem und letztem Ereignis – Legt das maximale Zeitintervall für alle Ereignisse fest, die als Cluster angezeigt werden sollen. Ein Ereignis, das nach diesem Zeitintervall generiert wird, wird nicht in den Cluster aufgenommen.

So aktivieren Sie Clustering:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > Ereigniscluster.

    Der Bildschirm Ereigniscluster wird angezeigt.

  2. Klicken Sie auf den Umschalter, um die gewünschten Kategorien für das Clustering zu aktivieren.

  3. Um die Zeitintervalle für eine Kategorie zu konfigurieren, klicken Sie auf Bearbeiten.

    Das Fenster Konfiguration bearbeiten wird angezeigt.

  4. Geben Sie den gewünschten Zahlenwert in das Zahlenfeld ein und wählen Sie die Zeiteinheit über das Dropdown-Feld aus.

    Hinweis: Weitere Informationen zu Clustering und Zeitintervallen können Sie über das Symbol  aufrufen.

  5. Klicken Sie auf Speichern.

PCAP-Player

OT Security ermöglicht es Ihnen, eine PCAP-Datei (Packet Capture, Paketerfassung) mit aufgezeichneter Netzwerkaktivität hochzuladen und auf OT Security „abzuspielen“. Wenn Sie eine PCAP-Datei „abspielen“, überwacht OT Security den Netzwerk-Traffic und zeichnet alle Informationen über erkannte Assets, Netzwerkaktivitäten und Schwachstellen so auf, als ob der Traffic in Ihrem Netzwerk stattgefunden hätte. Sie können diese Funktion zu Simulationszwecken oder zur Analyse von Traffic verwenden, der außerhalb des Netzwerks stattfindet, das von OT Security überwacht wird. Zum Beispiel Remote-Anlagen.

Hinweis: Der PCAP-Player unterstützt die folgenden Dateitypen: .pcap, .pcapng, .pcap.gz und .pcapng.gz. Sie können Dateien verwenden, die von einer Instanz von OT Security oder anderen Netzwerküberwachungstools aufgezeichnet wurden.

PCAP-Dateien hochladen

So laden Sie eine PCAP-Datei hoch:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > PCAP-Player.

  2. Klicken Sie auf PCAP-Datei hochladen.

    Der Datei-Explorer wird geöffnet.

  3. Wählen Sie die gewünschte PCAP-Aufzeichnung aus.

  4. Klicken Sie auf Öffnen.

    OT Security lädt die PCAP-Datei in das System hoch.

PCAP-Dateien abspielen

So spielen Sie eine PCAP-Datei ab:

  1. Gehen Sie zu Lokale Einstellungen > Umgebungskonfiguration > PCAP-Player.

  2. Wählen Sie die PCAP-Aufzeichnung aus, die Sie abspielen möchten.

  3. Klicken Sie auf Aktionen > Abspielen.

    Der Assistent PCAP abspielen wird angezeigt.

  4. Wählen Sie im Dropdown-Feld Abspielgeschwindigkeit die Geschwindigkeit aus, mit der das System die Datei abspielen soll.

    Verfügbare Optionen: 1X, 2X, 4X, 8X oder 16X.

    Hinweis: Durch das Abspielen einer PCAP-Datei werden Daten in das System eingebracht. Sobald dieser Vorgang ausgeführt wird, können Sie ihn nicht mehr rückgängig machen oder anhalten.

  5. Klicken Sie auf Abspielen.

    Das System spielt die PCAP-Datei ab. Alle Netzwerkaktivitäten in der PCAP-Datei werden im System registriert und vom System identifizierte Assets werden dem Asset-Inventar hinzugefügt.

    Hinweis: Sie können keine andere PCAP-Datei abspielen, während bereits eine Datei abgespielt wird.