環境設定

監視対象ネットワーク

監視対象ネットワークの設定には、OT Security のモニタリング境界を定義する一連の IP 範囲 (CIDR/サブネット) が含まれます。OT Security は、設定された範囲外の資産を無視します。

デフォルトでは、OT Security は 3 つのデフォルトのパブリック範囲 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、およびリンクローカル範囲 (APIPA) 169.254.0.0/16 を設定します。

デフォルトの範囲のいずれかを無効にする、または使用しているネットワークに適した範囲を追加するには、次のようにします。

  1. [ローカル設定] > [環境設定] > [資産設定] に移動します。

    [資産設定] ウィンドウが表示されます。

  2. [編集] をクリックします。

    [監視対象ネットワーク] パネルが表示されます。

  3. 必要な [既定の IP 範囲] を選択するか、指定されたテキストボックスに [追加の IP 範囲] (1 行につき 1 つの IP 範囲) を追加します。

  4. [保存] をクリックします。

    OT Security が監視対象ネットワーク設定を保存します。

手動による資産の追加

OT Security でまだ資産が検出されていないとしても、インベントリを追跡するために、所有している追加の資産を表示したほうが良いこともあります。その場合は、CSV ファイルをダウンロードして編集し、ファイルをシステムにアップロードすることで、これらの資産をインベントリに手動で追加できます。アップロードできるのは、システムの既存の資産によってまだ使用されていない IP を持つ資産のみです。同じ IP でネットワークを介して通信している資産をシステムが検出した場合、システムは検出された資産について取得した情報を使用し、以前にアップロードした情報を上書きします。ネットワークで資産が通信していることをシステムが検出すると、システムは資産を通常のものとして処理し始めます。

アップロードされた資産の IP アドレスは、システムライセンスの一部としてカウントされます。

アップロードされた資産のリスクスコアは、OT Security によって検出されるまでは 0 と表示されます。

注意: 資産を手動で追加した場合、OT Security がネットワークでの資産の通信を検出するまで、これらの資産のイベントは検出されません。

資産を手動で追加するには、次のようにします。

  1. [ローカル設定] > [環境設定] > [資産設定] に移動します。

    [資産設定] 画面が表示されます。

  2. [資産を手動で追加] で、[アクション] メニューから [CSV テンプレートのダウンロード] を選択します。

    OT Security により tot_Assets テンプレートドキュメントがダウンロードされます。

  3. tot_Assets テンプレートドキュメントを開きます。

  4. ファイルにある指示に従って tot_Assets テンプレートを正確に編集し、列ヘッダー (名前、タイプなど) と入力した値のみを残します。

  5. 編集したファイルを保存します。

  6. [資産設定] 画面に戻ります。

  7. [アクション] メニューから [CSV をアップロード] を選択し、目的の CSV ファイルに移動して開き、アップロードします。

  8. [資産を手動で追加] で、[レポートのダウンロード] をクリックします。

    レポートを含む CSV ファイルが表示され、[結果] 列に成功と失敗が示されます。エラーの詳細は、[エラー] 列に表示されます。

イベントクラスター

イベントの監視を容易にするために、同じ特性を持つ複数のイベントが、1 つにクラスター化されます。クラスタリングは、イベントタイプ (同じポリシーを共有するイベントなど)、ソース資産とデスティネーション資産などに基づいて行われます。

イベントをクラスター化するには、次の設定された時間間隔内にイベントを生成する必要があります。

  • 連続するイベント間の最大時間 — イベント間の最大時間間隔を設定します。この時間が経過すると、連続するイベントはクラスター化されません。

  • 最初と最後のイベント間の最大時間 — すべてのイベントがクラスターとして表示される最大時間間隔を設定します。この時間間隔の後に生成されるイベントは、クラスターには含まれません。

クラスタリングの有効手順

  1. [ローカル設定] に移動し、[環境設定] > [イベントクラスター] に移動します。

    [イベントクラスター] 画面が表示されます。

  2. トグルをクリックして、クラスタリングに必要なカテゴリを有効にします。

  3. カテゴリの時間間隔を設定するには、[編集] をクリックします。

    [設定の編集] ウィンドウが表示されます。

  4. 数値ボックスに目的の数値を入力し、ドロップダウンボックスを使用して時間の単位を選択します。

    注意: クラスタリングおよび時間間隔の詳細については、 アイコンをクリックしてください。

  5. [保存] をクリックします。

PCAP プレーヤー

OT Security では、記録されたネットワークアクティビティを含む PCAP (パケットキャプチャ) ファイルをアップロードし、OT Security で「再生」することができます。PCAP ファイルを「再生」すると、OT Security はネットワークトラフィックを監視し、まるでネットワーク内でトラフィックが発生したかのように、検出された資産、ネットワークアクティビティ、脆弱性に関するすべての情報を記録します。この機能は、シミュレーションの目的で使用したり、ネットワークの外部で発生する OT Security によって監視されているトラフィックを分析したりするために使用できます。たとえば、遠隔地の工場などです。t

注意: PCAP プレーヤーでサポートされているファイルタイプは、.pcap.pcapng.pcap.gz.pcapng.gz です。OT Security またはその他のネットワーク監視ツールのインスタンスによって記録されたファイルを使用できます。

PCAP ファイルのアップロード

PCAP ファイルのアップロード手順

  1. [ローカル設定] > [環境設定] > [PCAP プレーヤー] に移動します。

  2. [PCAP ファイルのアップロード] をクリックします。

    ファイルエクスプローラーが開きます。

  3. 目的の PCAP 記録を選択します。

  4. [開く] をクリックします。

    OT Security により PCAP ファイルがシステムにアップロードされます。

PCAP ファイルの再生

PCAP ファイルの再生手順

  1. [ローカル設定] > [環境設定] > [PCAP プレーヤー] に移動します。

  2. 再生する PCAP 記録を選択します。

  3. [アクション] > [再生] をクリックします。

    [PCAP の再生] ウィザードが表示されます。

  4. [再生速度] ドロップダウンボックスで、システムがファイルを再生する速度を選択します。

    オプションは、1X、2X、4X、8X、16X です。

    注意: PCAP ファイルを再生するとデータがシステムに挿入されます。この操作を元に戻すことはできず、実行されると停止できません。

  5. [再生] をクリックします。

    PCAP ファイルが再生されます。PCAP ファイルのすべてのネットワークアクティビティがシステムに登録され、システムによって識別された資産が資産インベントリに追加されます。

    注意: ファイルの再生中は、別の PCAP ファイルを再生できません。