環境設定

資産設定

監視対象ネットワーク

監視対象ネットワークの設定には、OT Security のモニタリング境界を定義する一連の IP 範囲 (CIDR/サブネット) が含まれます。OT Security は、設定された範囲外の資産を無視します。

デフォルトでは、OT Security は 3 つのデフォルトのパブリック範囲 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、およびリンクローカル範囲 (APIPA) 169.254.0.0/16 を設定します。

デフォルトの範囲のいずれかを無効にする、または使用しているネットワークに適した範囲を追加するには、次のようにします。

  1. [ローカル設定] > [環境設定] > [資産設定] に移動します。

    [資産設定] ウィンドウが表示されます。

  2. [監視対象ネットワーク] セクションで、[編集] をクリックします。

    [監視対象ネットワーク] パネルが表示されます。

  3. 必要な [既定の IP 範囲] を選択するか、指定されたテキストボックスに [追加の IP 範囲] (1 行につき 1 つの IP 範囲) を追加します。

  4. [保存] をクリックします。

    OT Security が監視対象ネットワーク設定を保存します。

複製された内部ネットワーク

重複する IP 範囲は、同じ IP アドレスが複数のデバイスに割り当てられている時に発生します。重複する IP 範囲は製造環境全体で共通のものになります。それで、資産を正確に特定して追跡することが困難になり、可視性のギャップや不適切な資産の関連付けなどが発生します。IP アドレスが異なるセグメントにまたがって再利用されている場合でも、OT Security に対して重複するネットワークを定義すれば、資産を正確に追跡することができます。

複製ネットワークの追加

始める前に

  • 認証されたセンサーがペアリングされていることを確認してください。

    注意: OT Security は、認証されていないセンサーの複製ネットワークをサポートしていません。

環境で複製ネットワークを定義する方法

  1. [ローカル設定] > [環境設定] > [資産設定] に移動します。

    [資産設定] ページが表示されます。

  2. [複製された内部ネットワーク] セクションで、[ネットワークの追加] をクリックします。

    [複製ネットワークの追加] パネルが [ネットワークの詳細] とともに表示されます。

    注意: OT Security は、IP アドレスを NAT IP 割り当てにマッピングするための内部予約プールとして、240.0.0.0/4 IP 範囲を使用します。この予約プール範囲を変更するには、Tenable サポートに連絡してください。

  3. [複製された IP 範囲] ボックスに、IP 範囲を CIDR 形式で入力します (例: 192.168.0.0/24)。

  4. [複製 (センサー)] ドロップダウンボックスから、複製された IP 範囲に関連付けるセンサーを選択します。

  5. [次へ] をクリックします。

    [確認] パネルが表示されます。

  6. (オプション) [資産の削除] チェックボックスを選択します。

    ヒント: 選択されたすべての資産を独自のネットワークに分離するために、Tenable は、OT Security が資産を削除して、起動後にそれらを再検出できるようにすることを推奨しています。[資産の削除] チェックボックスを選択しない場合、資産は現在の IP 範囲内にとどまり、不一致や予期しない動作が起きる可能性があります。

  7. [保存] をクリックします。

    OT Security により複製された IP 範囲が保存され、[複製された内部ネットワーク] テーブルに表示されます。

    重要: 複製ネットワークの設定が完了したら、Tenable は、OT Security を再起動してからセンサーを有効にすることを推奨しています。

  8. OT Security を再起動します。

  9. センサーを有効にするには、[ローカル設定] > [センサー] に移動します。

    注意: アクティブクエリの IP 範囲 (CIDR) は、[複製された内部ネットワーク] で設定したものです。

    1. 次のいずれかを行います。

      • 単一のセンサー: センサーを右クリックし、[編集] をクリックします。[センサーの編集]パネルで、[センサーアクティブクエリ] トグルをクリックして、アクティブクエリを有効にします。

      • 複数のセンサー: 必要なセンサーをすべて選択します。ヘッダーで、[一括アクション] > [アクティブクエリの有効化] を選択します。

    2. センサーを右クリックし、ステータスを [一時停止] から [接続済み] に変更してアクティブにします。

次のステップ

複製ネットワークを設定して OT Security を再起動した後、資産は実際の IP とともに [すべての資産] テーブルに表示されます。さらに、複製ネットワークに割り当てられた IP を入力する場合は、対応するセンサーも選択する必要があります。例: [アクティブクエリ] > [検出] / [Nessus スキャン] > [スキャンを作成]、または [認証情報] > [認証情報のテスト]:

  • [インベントリ] > [すべての資産] で、[すべての資産] テーブルの資産の実際の IP アドレスと [ソース] を表示します。たとえば、同じ IP アドレスを共有しているが、異なるセンサーに関連付けられている 2 つの資産があるとします。

  • [アクティブクエリ] > [クエリ管理] > [検出] または [Nessus スキャン] > [スキャンを作成] で、複製ネットワークを含むアクティブクエリを設定する際に、その IP 範囲の [関連するセンサー] を選択します。これにより、その他のセンサーを除外しながら、特定のセンサーに関連付けられた資産を求めるクエリを実行できます。

    注意: OT Security は、複製ネットワークの IP 範囲に対してのみ、[関連するセンサー] ボックスを有効にします。他のすべての IP 範囲では無効のままです。

  • [アクティブクエリ] > [認証情報] > [認証情報のテスト] で認証情報を設定する際に、複製ネットワークの IP 範囲を入力する場合は、[複製 (センサー)] ボックスで関連するセンサーも選択する必要があります。

  • 複製ネットワークの資産部分に対して [資産グループ] を作成するには、[資産選択] オプションを使用し、[資産] テーブルの [ソース] 列に基づいて特定の IP を指定します。

[複製された内部ネットワーク] テーブルには次の詳細が表示されます。

説明
CIDR 複製ネットワークの IP 範囲。
センサー 複製ネットワークの IP 範囲に関連付けられているセンサー。
使用中 - 検出クエリ CIDR が少なくとも 1 つの資産検出 (アクティブクエリ) で使用中かどうかを示します。使用中の場合、CIDR アクティブ検出を削除してから、その CIDR を含む複製ネットワークを削除します。
使用中 - Nessus スキャン CIDR が 1 つ以上の Nessus スキャンで使用中かどうかを示します。使用中の場合、Nessus スキャンから CIDR を削除してから、その CIDR を含む複製ネットワークを削除します。

複製された内部ネットワークに対するアクション

複製ネットワークを編集する方法

  1. [複製された内部ネットワーク] セクションで、変更する複製ネットワークを選択します。

  2. 次のいずれかを行います。

    • 複製ネットワークを右クリックし、[編集] を選択します。

    • セクションの右上で、[アクション] > [編集] を選択します。

      [複製ネットワークの編集] パネルが表示され、そこに選択した複製ネットワークの詳細情報も表示されます。

  3. 必要に応じて値を変更します。

  4. [次へ] をクリックします。

  5. [確認] パネルで、[保存] をクリックします。

    OT Security により、複製ネットワークへの変更が保存されます。

不要になった複製ネットワークを削除できます。

複製ネットワークを削除する方法

  1. [複製された内部ネットワーク] セクションで、削除する複製ネットワークを選択します。

  2. 次のいずれかを行います。

    • 複製ネットワークを右クリックし、[削除] を選択します。

    • セクションの右上で、[アクション] > [削除] を選択します。

OT Security により複製ネットワークが削除されます。

  1. Nessus スキャン/アクティブ検出から CIDR を削除します。

  2. 複製ネットワーク設定からセンサーを削除します。

  3. 置き換える場合は、API を使用して新しいセンサー ID を設定し、古いセンサーを置き換えます。

  4. [センサー] ページで、古いセンサーを削除します。

手動による資産の追加

OT Security でまだ資産が検出されていないとしても、インベントリを追跡するために、所有している追加の資産を表示したほうが良いこともあります。その場合は、CSV ファイルをダウンロードして編集し、ファイルをシステムにアップロードすることで、これらの資産をインベントリに手動で追加できます。アップロードできるのは、システムの既存の資産によってまだ使用されていない IP を持つ資産のみです。同じ IP でネットワークを介して通信している資産をシステムが検出した場合、システムは検出された資産について取得した情報を使用し、以前にアップロードした情報を上書きします。ネットワークで資産が通信していることをシステムが検出すると、システムは資産を通常のものとして処理し始めます。

アップロードされた資産の IP アドレスは、システムライセンスの一部としてカウントされます。

アップロードされた資産のリスクスコアは、OT Security によって検出されるまでは 0 と表示されます。

注意: 資産を手動で追加した場合、OT Security がネットワークでの資産の通信を検出するまで、これらの資産のイベントは検出されません。

資産を手動で追加するには、次のようにします。

  1. [ローカル設定] > [環境設定] > [資産設定] に移動します。

    [資産設定] 画面が表示されます。

  2. [資産を手動で追加] で、[アクション] メニューから [CSV テンプレートのダウンロード] を選択します。

    OT Security により tot_Assets テンプレートドキュメントがダウンロードされます。

  3. tot_Assets テンプレートドキュメントを開きます。

  4. ファイルにある指示に従って tot_Assets テンプレートを正確に編集し、列ヘッダー (名前、タイプなど) と入力した値のみを残します。

  5. 編集したファイルを保存します。

  6. [資産設定] 画面に戻ります。

  7. [アクション] メニューから [CSV をアップロード] を選択し、目的の CSV ファイルに移動して開き、アップロードします。

  8. [資産を手動で追加] で、[レポートのダウンロード] をクリックします。

    レポートを含む CSV ファイルが表示され、[結果] 列に成功と失敗が示されます。エラーの詳細は、[エラー] 列に表示されます。

SCD ファイル

Substation Configuration Description (SCD) ファイルには、変電所の通信関連の全詳細情報が含まれています。SCD ファイルを OT Security にアップロードして、資産、IEC 61850 設定に対する可視性、お使いの環境に関するセキュリティインサイトを得ることができるようになりました。

SCD ファイルの情報に基づいて、OT Security は変電所の設定ミスに関連する次のような検出結果を報告します。

  • 認証されていないクライアントからの製造メッセージ仕様 (MMS) レポートへのアクセス。

  • SCD ファイルに記載されていない認証されていないクライアントが、MMS レポートをサブスクリプション登録しようとしています。

注意: OT Security は、SCD ファイルの次の形式のみをサポートします。
  • Substation Configuration Language (SCL) バージョン 1.0 および 2.0。
  • 変電所が 1 つだけの SCD ファイル。

SCD ファイルをアップロードする方法

  1. [ローカル設定] > [環境設定] > [資産設定] に移動します。

    [資産設定] ページが表示されます。

  2. [SCD ファイル] セクションで、[アップロード] をクリックします。

    注意: 変電所ごとに 1 つの SCD ファイルのみアップロードできます。同じ変電所名を含む直近にアップロードされたファイルが、その前のファイルをオーバーライドします。

  3. アップロードするファイルを参照して選択します。

    OT Security は SCD ファイルをアップロードし、[インベントリ] > [詳細] タブと [IEC 61850] タブで資産の詳細が表示されます。SCD ファイルに設定ミスがあるとイベントがトリガーされ、[詳細] ページと [IEC 61850] ページの上部に不正アクセスのエラーメッセージが表示されます。

  4. (オプション) 検出結果の詳細をダウンロードするには、エラーメッセージで [詳細のダウンロード] をクリックします。

    OT Security は詳細を CSV 形式でダウンロードします。

イベントクラスター

イベントの監視を容易にするために、同じ特性を持つ複数のイベントが、1 つにクラスター化されます。クラスタリングは、イベントタイプ (同じポリシーを共有するイベントなど)、ソース資産とデスティネーション資産などに基づいて行われます。

イベントをクラスター化するには、次の設定された時間間隔内にイベントを生成する必要があります。

  • 連続するイベント間の最大時間 — イベント間の最大時間間隔を設定します。この時間が経過すると、連続するイベントはクラスター化されません。

  • 最初と最後のイベント間の最大時間 — すべてのイベントがクラスターとして表示される最大時間間隔を設定します。この時間間隔の後に生成されるイベントは、クラスターには含まれません。

クラスタリングの有効手順

  1. [ローカル設定] に移動し、[環境設定] > [イベントクラスター] に移動します。

    [イベントクラスター] 画面が表示されます。

  2. トグルをクリックして、クラスタリングに必要なカテゴリを有効にします。

  3. カテゴリの時間間隔を設定するには、[編集] をクリックします。

    [設定の編集] ウィンドウが表示されます。

  4. 数値ボックスに目的の数値を入力し、ドロップダウンボックスを使用して時間の単位を選択します。

    注意: クラスタリングおよび時間間隔の詳細については、 アイコンをクリックしてください。

  5. [保存] をクリックします。

PCAP プレーヤー

OT Security では、記録されたネットワークアクティビティを含む PCAP (パケットキャプチャ) ファイルをアップロードし、OT Security で「再生」することができます。PCAP ファイルを「再生」すると、OT Security はネットワークトラフィックを監視し、まるでネットワーク内でトラフィックが発生したかのように、検出された資産、ネットワークアクティビティ、脆弱性に関するすべての情報を記録します。この機能は、シミュレーションの目的で使用したり、ネットワークの外部で発生する OT Security によって監視されているトラフィックを分析したりするために使用できます。たとえば、遠隔地の工場などです。t

注意: PCAP プレーヤーでサポートされているファイルタイプは、.pcap.pcapng.pcap.gz.pcapng.gz です。OT Security またはその他のネットワーク監視ツールのインスタンスによって記録されたファイルを使用できます。

PCAP ファイルのアップロード

PCAP ファイルのアップロード手順

  1. [ローカル設定] > [環境設定] > [PCAP プレーヤー] に移動します。

  2. [PCAP ファイルのアップロード] をクリックします。

    ファイルエクスプローラーが開きます。

  3. 目的の PCAP 記録を選択します。

  4. [開く] をクリックします。

    OT Security により PCAP ファイルがシステムにアップロードされます。

PCAP ファイルの再生

PCAP ファイルの再生手順

  1. [ローカル設定] > [環境設定] > [PCAP プレーヤー] に移動します。

  2. 再生する PCAP 記録を選択します。

  3. [アクション] > [再生] をクリックします。

    [PCAP の再生] ウィザードが表示されます。

  4. [再生速度] ドロップダウンボックスで、システムがファイルを再生する速度を選択します。

    オプションは、1X、2X、4X、8X、16X です。

    注意: PCAP ファイルを再生するとデータがシステムに挿入されます。この操作を元に戻すことはできず、実行されると停止できません。

  5. [再生] をクリックします。

    PCAP ファイルが再生されます。PCAP ファイルのすべてのネットワークアクティビティがシステムに登録され、システムによって識別された資産が資産インベントリに追加されます。

    注意: ファイルの再生中は、別の PCAP ファイルを再生できません。