アクティブクエリ

OT Security[クエリ] ウィンドウでは、クエリ機能を設定してアクティブ化できます。クエリテクノロジーの一般的な説明については、OT Security テクノロジーを参照してください。Tenable は、初期セットアップの一部としてすべてのクエリ機能をアクティブ化することを推奨していますが、いつでも、任意のクエリ機能をアクティブ化 / 非アクティブ化できます。また、クエリを実行するタイミングと方法の設定を調整することもできます。

定期的に実行される自動クエリに加えて、クエリの横にあるトグルをクリックすることで、クエリをオンデマンドで開始できます。

注意: クエリをオフにすると、資産が未識別のままになる可能性があります。OT Security は、パッシブモニタリングとアクティブクエリによってデバイスを追跡します。

[アクティブクエリ] > [クエリ] ページから、クエリをアクティブ化して設定できます。アクティブクエリを詳細に制御するためのオプションとして、[手動][定期][システム] の 3 つがあります。

手動 — 資産に対して [再同期] オプションを使用して 1 つの資産を確認する際に実行できるクエリを制御します。手動クエリを使用すると、1 つの監視対象資産を確認する際に、特定の種類のクエリに対する製品の機能を制御できます。再同期オプションを有効にすると、資産を確認する際にこれらのクエリを実行できるようになります。[再同期] オプションについての詳細は、再同期の実行を参照してください。

定期 — 設定した一定の時間間隔で実行されるクエリです。有効にすると、このページの [繰り返し] 列で指定したスケジュールに従ってクエリが実行されます。実行するクエリを右クリックして [今すぐ実行] を選択することで、すべての定期クエリをオンデマンドで実行できます。この操作を行っても、次のクエリに設定されたスケジュールまたは時間には影響しません。手動で作成するクエリは、すべて [定期] が設定されます。

システムOT Security が特定の基準または条件に基づいて自動的に処理するクエリです。たとえば、資産強化に基づくクエリは、Tenable が初めてデバイスをパッシブまたはアクティブに確認するときに必ず実行されます。資産強化により、OT Security はデバイスがネットワーク上に現れると直ちにそのデバイスのフィンガープリントを取得して識別します。資産強化では、コントローラーベースのイベントのポリシー設定の管理下にあるポリシートリガースナップショットも制御されます。

注意: 資産強化を使用する場合は、次のクエリを必ず有効にしてください。
  • ポートマッピング — 継続
  • 識別情報クエリ — 資産強化

[クエリ] テーブルには次の情報が表示されます。

説明
[有効化] または [無効化] トグル クエリを有効または無効にするには、クエリ名の横にあるこのトグルをクリックします。
名前 クエリの名前。
操作 クエリのタイプ: [検出]、[定期]、[システム] クエリ。
ステータス クエリのステータス: [作成済み][進行中][準備中][完了][失敗]
資産

このクエリがポーリングする必要がある資産グループ。

注意: 設定するクエリで使用する独自の資産グループを作成できます。

クエリの作成

さまざまなプロジェクトや機能に対するクエリを作成して、実行するクエリと実行するタイミングを制御できます。

たとえば、次のシナリオに対応したカスタムクエリを設定できます。

  • 工場内の複数の場所でメンテナンス時間が異なる

  • 複数の資産でプロジェクトと重大度が異なる

  • OT 機能と IT 機能でクエリが異なる

クエリの作成手順

  1. [アクティブクエリ] > [クエリ] に移動します。

    [クエリ] ウィンドウが表示されます。

  2. [クエリの作成] をクリックします。

    [クエリの作成] パネルが表示されます。

  3. 次のオプションから必要なクエリタイプを選択します。

    • 検出OT Security が監視するネットワークでライブ資産を検出するクエリです。

      • 資産検出は、Internet Control Message Protocol (ICMP) または ping を使用して、応答するライブ IP アドレスを検出します。

      • アクティブ資産追跡は、既知の監視対象資産が稼働していて利用可能であることを確認するために、その資産に対して定期的に ping を試行します。

      • コントローラー検出は、一連のマルチキャストパケットをネットワークに送信して、コントローラーまたは ICS デバイスに対し、それぞれの情報を OT Security に直接返信するように促します。

    • ITOT Security が確認した IT タイプの監視対象資産から追加のデータポイントをフェッチするためのクエリです。NetBIOS を除き、IT タイプのクエリには認証情報が必要です。

      • NetBIOS クエリは、OT Security センサー または OT Security 自体のブロードキャスト範囲で NetBIOS をリッスンしているデバイスの検出を試みます。このタイプのクエリは、近くにある Windows デバイスを特定するのに適しています。

      • SNMP クエリは、SNMP v2 または SNMP v3 の認証情報を使用して、SNMP をサポートするネットワーク接続デバイスまたはネットワークインフラに対して識別詳細情報を求めます。OT Security は、SNMP システムの説明やその他のパラメーターに対するクエリを実行し、資産文脈の追加とフィンガープリント取得を支援します。

      • WMI 詳細クエリは、Windows ベースのシステムからさまざまな重要データポイントを取得します。このためには、クエリ対象のシステムに、Windows Management Instrumentation (WMI) サービスをポーリングするのに十分なアクセス許可を持つ Windows アカウント (ローカルまたはドメイン) が必要です。

      • WMI USB の状態クエリは、エンジニアリングワークステーションやサーバーなどの Windows デバイスに、USB ドライブやポータブルハードドライブなどのリムーバブルメディアが接続されているかどうかを判別します。このクエリは、Windows マシンの USB 設定の変更ポリシーが正しく機能するための前提条件なので、このポリシーと密接に関連しています。

    • OT — 専用プロトコルを使用して、コントローラーと組み込みデバイスを安全にポーリングして詳細情報を取得するように設計されたクエリです。OT Security は読み取り専用クエリを実行してデバイス情報を収集します。場合によっては、OT Security はデバイス識別の詳細以外の情報をクエリし、PLC の実行状態や、バックプレーンに接続されている他のモジュールなどの情報を表示することができます。OT Security は、OT Security がサポートする専用プロトコルをリッスンしているデバイスのクエリを試みます。使用するクエリまたはプロトコルのカスタマイズの詳細については、ドキュメントを参照してください。

  4. [次へ] をクリックします。

    [クエリの定義] パネルが表示されます。

  5. [名前] ボックスにクエリの名前を入力します。

  6. [説明] ボックスにクエリの説明を入力します。

  7. [資産] ドロップダウンボックスで資産を選択します。

    注意: [検索] ボックスを使用して、特定の資産を検索することもできます。
  8. [次の間隔で繰り返し] セクションに数値を入力し、ドロップダウンボックスから [日] または [週] を選択します。特定のクエリでは [分][時間] を設定することもできます。

    [週] を選択した場合は、クエリを実行する曜日を指定します。

  9. [時刻] ボックスで、時計アイコンをクリックして時刻を選択するか手動で時刻を入力して、クエリを実行する時刻 (HH:MM:SS) を設定します。

  10. [クエリの状態] トグルをクリックして、クエリを有効にします。

  11. (資産検出のみ) [IP 範囲] ボックスに、資産の IP アドレスを入力します。

  12. (検出クエリのみ) [同時にポーリングする資産の数] ドロップダウンボックスで、資産の数を選択します。選択できるオプションは、[10 個の資産]、[20 個の資産]、[30 個の資産] です。

  13. (検出クエリのみ) [検出クエリの間隔] ドロップダウンボックスで、検出クエリ間の間隔を選択します。選択できるオプションは、[1 秒]、[2 秒]、[3 秒] です。

制限の追加

特定の資産 (IP 範囲、OT サーバー、タブレット、医療機器、ドメインコントローラーなど) でクエリが実行されないようにブロックできます。

制限の追加手順

  1. [アクティブクエリ] > [クエリ] に移動します。

    [クエリ] ウィンドウが表示されます。

  2. [ブロックされた資産] ドロップダウンボックスでブロックする資産を選択します。

    注意: 検索ボックスを使用して、特定の資産を検索できます。
  3. [制限されたクライアント] ドロップダウンボックスで、目的のクライアントを選択します。

  4. [ブラックアウト期間] ドロップダウンボックスで、資産をブロックする期間を選択します。選択できるオプションは、[なし][勤務時間] です。

  5. [保存] をクリックします。

    OT Security により、特定のクライアントと資産に制限が適用されます。

クエリの表示

クエリの詳細の表示手順

  1. [アクティブクエリ] > [クエリ] に移動します。

    [クエリ] ウィンドウが表示されます。

  2. 表示するクエリの行で、次のいずれかを行います。

    • クエリを右クリックし、[表示] を選択します。

    • クエリを選択し、[アクション] メニューから [表示] を選択します。

    ウィンドウにクエリの詳細が表示されます。

クエリの編集

クエリの詳細の編集手順

  1. [アクティブクエリ] > [クエリ] に移動します。

    [クエリ] ウィンドウが表示されます。

  2. クエリのリストから編集するクエリを選択し、次のいずれかを行います。

    • クエリを右クリックし、[編集] を選択します。

    • クエリを選択し、[アクション] メニューから [編集] を選択します。

    [クエリの編集] パネルが表示されます。

    注意: クエリの詳細ページからクエリを編集することもできます。
  3. 必要に応じてクエリを変更します。

  4. [保存] をクリックします。

クエリの複製

注意: 複製できるのは定期クエリのみです。
  1. [アクティブクエリ] > [クエリ] に移動します。

    [クエリ] ウィンドウが表示されます。

  2. クエリのリストからコピーを作成するクエリを選択し、次のいずれかを行います。

    • クエリを右クリックし、[複製] を選択します。

    • クエリを選択し、[アクション] メニューから [複製] を選択します。

    [クエリの複製] パネルが表示され、このパネルにクエリの詳細が表示されます。

    注意: クエリの詳細ページからクエリを複製することもできます。
  3. 必要に応じてクエリの名前と詳細を変更します。

  4. [保存] をクリックします。

    OT Security によりクエリが [クエリ] テーブルに保存されます。

クエリの実行

必要に応じて、定期クエリを実行できます。

注意:[今すぐ実行] オプションは、定期クエリでのみ使用できます。

クエリの実行手順

  1. [アクティブクエリ] > [クエリ] に移動します。

    [クエリ] ウィンドウが表示されます。

  2. クエリのリストから実行するクエリを選択し、次のいずれかを行います。

    • クエリを右クリックし、[今すぐ実行] を選択します。

    • クエリを選択し、[アクション] メニューから [今すぐ実行] を選択します。

    クエリを実行するかどうかの確認を求めるメッセージが表示されます。

  3. [OK] をクリックします。

    選択したクエリが OT Security により実行されます。