環境 設定

ネットワーク定義

[ネットワーク定義] ページには、次のセクションが含まれます。

モニタリング対象ネットワーク

監視対象ネットワークの設定には、OT Security のモニタリング境界を定義する一連の IP 範囲 (CIDR/サブネット) が含まれます。OT Security は、設定された範囲外の資産を無視します。

デフォルトでは、OT Security は 3 つのデフォルトのパブリック範囲 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、およびリンクローカル範囲 (APIPA) 169.254.0.0/16 を設定します。

デフォルトの範囲のいずれかを無効にする、または使用しているネットワークに適した範囲を追加するには、次のようにします。

  1. [設定] > [環境設定] > [ネットワーク定義] に移動します。

    [ネットワーク定義] ページが表示されます。

  2. [監視対象ネットワーク] セクションで、[編集] をクリックします。

    [監視対象ネットワーク] パネルが表示されます。

  3. 必要な [既定の IP 範囲] を選択するか、指定されたテキストボックスに [追加の IP 範囲] (1 行につき 1 つの IP 範囲) を追加します。

  4. [保存] をクリックします。

    OT Security が監視対象ネットワーク設定を保存します。

重複する内部ネットワーク

重複する IP 範囲は、同じ IP アドレスが複数のデバイスに割り当てられている時に発生します。重複する IP 範囲は製造環境全体で共通のものになります。これにより、資産を正確に特定して追跡することが困難になり、可視性のギャップや不適切な資産の関連付けなどが発生します。IP アドレスが異なるセグメントにまたがって再利用されている場合でも、OT Security に対して重複するネットワークを定義すれば、資産を正確に追跡することができます。

注意: 重複するネットワーク内の資産がセンサーと別のソース (別のセンサーやローカルの ICP) の両方によって検出された場合、 OT Security インターフェースはそれを 1 つの資産に統合します。ただし、ライセンス数としては 2 つの資産としてカウントされます。これを防ぐために、Tenable では重複するネットワーク範囲を調整してそのような資産を除外することを推奨しています。

重複するネットワークの追加

始める前に

  • 認証されたセンサーがペアリングされていることを確認してください。

    注意: OT Security は、認証されていないセンサーの重複するネットワークをサポートしていません。

環境内の重複ネットワークを定義する方法

  1. [設定] > [環境設定] > [ネットワーク定義] に移動します。

    [ネットワーク定義] ページが表示されます。

  2. [重複する内部ネットワーク] セクションで、[ネットワークの追加] をクリックします。

    [重複するネットワークの追加] パネルが [ネットワークの詳細] とともに表示されます。

    注意: OT Security は、IP アドレスを NAT IP 割り当てにマッピングするための内部予約プールとして、240.0.0.0/4 IP 範囲を使用します。この予約プール範囲を変更するには、Tenable サポートに連絡してください。

  3. [重複する IP 範囲] ボックスに、IP 範囲を CIDR 形式で入力します (例: 192.168.0.0/24)。

  4. [重複 (センサー)] ドロップダウンボックスから、重複する IP 範囲に関連付けるセンサーを選択します。

  5. [次へ] をクリックします。

    [確認] パネルが表示されます。

  6. (オプション) [資産の削除] チェックボックスを選択します。

    ヒント: 選択されたすべての資産を独自のネットワークに分離するために、Tenable は、OT Security が資産を削除して、起動後にそれらを再検出できるようにすることを推奨しています。[資産の削除] チェックボックスを選択しない場合、資産は現在の IP 範囲内にとどまり、不一致や予期しない動作が起きる可能性があります。

  7. [保存] をクリックします。

    OT Security により重複 IP 範囲が保存され、[重複する内部ネットワーク] テーブルに表示されます。

    重要: 重複するネットワークの設定が完了したら、Tenable は、OT Security を再起動してからセンサーを有効にすることを推奨しています。

  8. OT Security を再起動します。

  9. センサーを有効にするには、[ローカル設定] > [センサー] に移動します。

    注意: アクティブクエリの IP 範囲 (CIDR) は、[重複する内部ネットワーク] で設定したものです。

    1. 次のいずれかを行います。

      • 単一のセンサー: センサーを右クリックし、[編集] をクリックします。[センサーの編集] パネルで、[センサーアクティブクエリ] トグルをクリックして、アクティブクエリを有効にします。

      • 複数のセンサー: 必要なセンサーをすべて選択します。ヘッダーで、[一括アクション] > [アクティブクエリの有効化] を選択します。

    2. センサーを右クリックし、ステータスを [一時停止] から [接続済み] に変更してアクティブにします。

次のステップ

重複するネットワークを設定して OT Security を再起動した後、資産は実際の IP とともに [すべての資産] テーブルに表示されます。さらに、重複するネットワークに割り当てられた IP を入力する場合は、対応するセンサーも選択する必要があります (たとえば、[アクティブクエリ] > [検出] / [Nessus スキャン] > [スキャンを作成]、または [認証情報] > [認証情報のテスト])。

  • [インベントリ] > [すべての資産] で、[すべての資産] テーブルの資産の実際の IP アドレスと [ソース] を表示します。たとえば、同じ IP アドレスを共有しているが、異なるセンサーに関連付けられている 2 つの資産があるとします。

  • [アクティブクエリ] > [クエリ管理] > [検出] または [Nessus スキャン] > [スキャンを作成] で、重複するネットワークを含むアクティブクエリを設定する際に、その IP 範囲の [関連するセンサー] を選択します。これにより、その他のセンサーを除外しながら、特定のセンサーに関連付けられた資産を求めるクエリを実行できます。

    注意: OT Security は、重複するネットワークの IP 範囲に対してのみ、[関連するセンサー] ボックスを有効にします。他のすべての IP 範囲では無効のままです。

  • [アクティブクエリ] > [認証情報] > [認証情報のテスト] で認証情報を設定する際に、重複するネットワークの IP 範囲を入力する場合は、[複製 (センサー)] ボックスで関連するセンサーも選択する必要があります。

  • 重複するネットワークの資産部分に対して [資産グループ] を作成するには、[資産選択] オプションを使用し、[資産] テーブルの [ソース] 列に基づいて特定の IP を指定します。

[重複する内部ネットワーク] テーブルには次の詳細が表示されます。

説明
CIDR 重複するネットワークの IP 範囲。
センサー 重複するネットワークの IP 範囲に関連付けられているセンサー。
使用中 - 検出クエリ CIDR が少なくとも 1 つの資産検出 (アクティブクエリ) で使用中かどうかを示します。使用中の場合、CIDR アクティブ検出を削除してから、その CIDR を含む重複するネットワークを削除します。
使用中 - Nessus スキャン CIDR が 1 つ以上の Nessus スキャンで使用中かどうかを示します。使用中の場合、Nessus スキャンから CIDR を削除してから、その CIDR を含む重複するネットワークを削除します。

重複する内部ネットワークに対するアクション

重複するネットワークを編集する方法

  1. [重複する内部ネットワーク] セクションで、変更対象である重複するネットワークを選択します。

  2. 次のいずれかを行います。

    • 重複するネットワークを右クリックし、[編集] を選択します。

    • セクションの右上で、[アクション] > [編集] を選択します。

      [重複するネットワークの編集] パネルが表示され、そこに選択した重複するネットワークの詳細情報も表示されます。

  3. 必要に応じて値を変更します。

  4. [次へ] をクリックします。

  5. [確認] パネルで、[保存] をクリックします。

    OT Security により、重複するネットワークの変更が保存されます。

不要になった重複するネットワークを削除できます。

重複するネットワークを削除する方法

  1. [重複する内部ネットワーク] セクションで、削除対象である重複するネットワークを選択します。

  2. 次のいずれかを行います。

    • 重複するネットワークを右クリックし、[削除] を選択します。

    • セクションの右上で、[アクション] > [削除] を選択します。

OT Security により重複するネットワークが削除されます。

  1. Nessus スキャン/アクティブ検出から CIDR を削除します。

  2. 重複するネットワーク設定からセンサーを削除します。

  3. 置き換える場合は、API を使用して新しいセンサー ID を設定し、古いセンサーを置き換えます。

  4. [センサー] ページで、古いセンサーを削除します。

SNMP を介した新しい資産の検出

[SNMP を介して新しい資産を検出する] オプションを有効にすると、OT Security は SNMP クエリによって検出された資産を資産インベントリに追加します。

IoT 資産の IP アドレスのフェッチ

デフォルトでは、IoT コネクタから資産をインポートすると、OT Security はデバイスの MAC アドレスとともに IP アドレスもインポートします。MAC アドレスのみをインポートするには、[IoT 資産の IP アドレスをフェッチする] オプションを無効にします。詳細は、IoT コネクタの管理を参照してください。

イベントクラスタ

イベントの監視を容易にするために、同じ特性を持つ複数のイベントが、1 つにクラスタ化されます。クラスタリングは、イベントタイプ (同じポリシーを共有するイベントなど)、ソース資産とデスティネーション資産などに基づいて行われます。

イベントをクラスタ化するには、次の設定された時間間隔内にイベントを生成する必要があります。

  • 連続するイベント間の最大時間 — イベント間の最大時間間隔を設定します。この時間が経過すると、連続するイベントはクラスタ化されません。

  • 最初と最後のイベント間の最大時間 — すべてのイベントがクラスタとして表示される最大時間間隔を設定します。この時間間隔の後に生成されるイベントは、クラスタには含まれません。

クラスタリングを有効化する方法

  1. [イベントクラスタ] ページが表示されます。

  2. [設定] > [環境設定] > [イベントクラスタ] に移動します。

    [イベントクラスタ] ページが表示されます。

  3. トグルをクリックして、クラスタリングに必要なカテゴリを有効にします。

  4. カテゴリの時間間隔を設定するには、[編集] をクリックします。

    [設定の編集] ウィンドウが表示されます。

  5. 数値ボックスに目的の数値を入力し、ドロップダウンボックスを使用して時間の単位を選択します。

    注意: クラスタリングおよび時間間隔の詳細については、 アイコンをクリックしてください。

  6. [保存] をクリックします。