ネットワークマップ

[ネットワークマップ] 画面は、OT Security のネットワーク検出機能によって検出されたネットワーク資産とその接続を時間に沿って視覚的に表示します。ネットワーク検出は、コントロールプレーンのエンジニアリングアクティビティ (ファームウェアのダウンロードまたはアップロード、コードの更新、ベンダー独自の通信プロトコルで実行される設定変更など) に焦点を合わせて、運用ネットワークでのすべてのアクティビティを詳細かつリアルタイムで可視化します。[ネットワークマップ] には、資産が関連する資産のグループごとに、または個別の資産として表示されます。

[ネットワークマップ] には、指定したタイムフレーム内に Tenable により検出されたすべての資産と接続が表示されます。

ネットワークマップページには次の詳細が表示されます。

  • 検索ボックス — 検索テキストを入力して、表示されている資産を検索します。ネットワークマップに検索結果が表示され、検索テキストに一致するすべてのグループが強調表示されます。各グループにドリルダウンして、関連する資産を表示できます。

  • フィルター[資産タイプ][ベンダー][ファミリー][リスクレベル][パデューレベル] の 1 つ以上の指定されたカテゴリでマップ表示をフィルターできます。資産タイプの説明については、資産タイプを参照してください。

  • タイムフレーム — ネットワークマップには、指定したタイムフレーム内に検出されたすべての資産とネットワーク接続が表示されます。デフォルトのタイムフレームは [過去 30 日] に設定されています。タイムフレームのドロップダウンボックスで、別のタイムフレームを選択します。

  • グループ化 — 表示で資産をグループ化するために使用されるカテゴリを指定します。オプションは、[資産タイプ][パデューレベル][リスクレベル][グループ化なし] です。[すべてのグループを折りたたむ] オプションは、現在のグループ化選択を表示したまま、開かれているその他のすべてのグループを折りたたみます。

  • アクション — ドロップダウンメニューから次のアクションを選択できます。

    • ベースラインとして設定 — 異常なネットワークアクティビティの検出に使用されるベースラインを設定します。ネットワークベースラインの設定を参照してください。

    • 自動配置 — 現在表示されているエンティティのマップ表示を自動的に最適化します。

  • グループ / 資産 — マップ上のアイコンは各資産グループを表し、各資産タイプがアイコンによって示されます。各資産タイプについては資産タイプで説明しています。グループの場合、アイコンの上部の数字は、そのグループに含まれる資産の数を示します。個々の資産アイコンに達するまで、ドリルダウンして各サブグループの個別のアイコンを表示できます。個々の資産の場合、資産周囲のフレームの色 (赤、黄、緑) はリスクレベルを示します。

    注意: グループと資産をドラッグして再配置して、資産とその接続を見やすく表示することができます。

  • 接続 — 現在マップに表示されている粒度の程度に応じた、資産のグループおよび / または個々の資産間の各通信です。線の太さは、その接続を介した通信量を示します。

  • 表示された資産の合計 — 指定されたタイムフレームと資産フィルターに基づいて、ネットワークで検出された (およびマップに表示された) 資産の数を表示します。この数は、ネットワークで検出された資産の総数と関連させて表示されます。

  • ナビゲーションコントロール — 画面上のコントロールを使用するか標準のマウスコントロールを使用して、拡大および縮小して表示を調整したり、移動して目的の要素を表示したりできます。

資産のグループ化

ネットワークマップページには、さまざまな異なるカテゴリでグループ化された資産を表示できます。資産のグループ間の接続が表示されます。資産をクリックすると、そのグループに含まれる要素にドリルダウンできます。また、複数のグループを同時にドリルダウンできます。OT Security には埋め込みグループの複数のレイヤーが含まれているため、ドリルダウンすることで、含まれている資産をより詳細に表示できます。

以下は、メイン表示に適用できるグループ化と、選択したグループ化のドリルダウンオプションです。

マップ表示が [資産タイプ] (デフォルト) でグループ化されている場合、ドリルダウン階層は次のようになります。[資産タイプ] > [ベンダー] > [ファミリー] > [個別資産]

マップ表示が [リスクレベル] または [パデューレベル] でグループ化されている場合、資産タイプのグループ化の上にさらにレベルが追加され、階層は次のようになります。[パデューレベル]/[リスクレベル] > [資産タイプ] > [ベンダー] > [ファミリー] > [個別資産]。各レベルは、含まれているグループ / 資産を囲む円で表されます。

次の例は、表示をドリルダウンする方法を示しています。

資産タイプグループにドリルダウンする手順

  1. デフォルトでは、[ネットワークマップ] 画面を開くと、資産タイプ別にグループ化された資産が表示されます。

  2. ドリルダウンするグループアイコン (例: コントローラー) をダブルクリックします。

    グループが展開され、そのグループ内のベンダーグループが表示されます。

  3. さらにドリルダウンするには、ベンダーグループ (例: Rockwell) をクリックします。

  4. さらにドリルダウンするには、ファミリーグループ (例: SLC5) をクリックします。

    そのグループ内の個々の資産が表示されます。

  5. これで、特定の資産をクリックすると、その資産とその接続の詳細を確認できるようになりました。インベントリを参照してください。

表示の折りたたみ手順

  1. [グループ化] をクリックします。

  2. [すべてのグループを折りたたむ] をクリックします。

    最上位レベルのグループが再び表示されます。

すべてのグループ化の削除手順

  1. [グループ化基準] ボタンをクリックします。

  2. [グループ化しない] を選択します。

    マップには、グループ化が適用されず、すべての個々の資産が表示されます。

マップ表示へのフィルターの適用

資産タイプ、ベンダー、ファミリー、リスクレベル、パデューレベルの 1 つ以上の指定されたカテゴリでマップ表示をフィルターできます。

フィルターのマップへの適用手順

  1. 目的のフィルターカテゴリをクリックします。

  2. 表示または非表示にする各要素のチェックボックスを選択または選択解除します。

    注意: デフォルトでは、フィルターにはすべての要素が含まれています。

  3. [すべて選択] チェックボックスをクリックしてすべての値の選択を解除してから、必要な値を追加できます。

  4. フィルター検索ボックスで検索を実行して、フィルターウィンドウで特定の値を検索できます。

  5. 必要に応じて、各フィルターカテゴリに対してこのプロセスを繰り返します。

  6. [適用] をクリックします。

    選択した要素のみがマップに表示されます。

資産詳細の表示

特定の資産をクリックすると、リスクレベル、IP アドレス、資産タイプ、ベンダー、ファミリーなど、資産とそのネットワークアクティビティに関する基本情報が表示されます。マップには、選択した資産から、その資産と通信している他のすべての資産への接続が表示されます。次に、資産名のリンクをクリックすると、[資産詳細] 画面に移動し、資産に関するより詳細な情報を確認できます。

ネットワークベースラインの設定

ネットワークベースラインは、指定された期間にネットワーク内の資産間で行われたすべての会話のマップです。ネットワークベースラインは、ネットワーク内の異常な対話を警告するネットワークベースライン逸脱ポリシーで使用されます。ネットワークイベントのタイプを参照してください。

ベースラインサンプル中にやり取りがなかった資産により、各対話についてポリシーアラートがトリガーされます (指定されたポリシー条件の範囲内であることが前提です)。ネットワークベースライン逸脱ポリシーを作成できるようにするには、[ネットワークマップ] 画面で最初のネットワークベースラインを作成する必要があります。ネットワークベースラインは、新しいネットワークベースラインを設定することで、いつでも更新できます。

ネットワークベースラインの設定手順

  1. [ネットワークマップ] 画面で、画面上部の [タイムフレーム選択] を使用して、ネットワークベースラインに含める対話の時間範囲を選択します。

    選択したタイムフレームのネットワークマップが画面に表示されます。

  2. 右上で [アクション] > [ベースラインとして設定] を選択します。

    OT Security により新しいネットワークベースラインが設定され、すべてのネットワークベースライン逸脱ポリシーに適用されます。