アクティブクエリの管理

[アクティブクエリ管理] ページでは、アクティブクエリを設定して有効にすることができます。Tenable は、初期セットアップの一部としてすべてのクエリ機能をアクティブ化することを推奨していますが、いつでも、任意のクエリ機能をアクティブ化/非アクティブ化できます。また、クエリを実行するタイミングや方法の設定を調整することもできます。

定期的に実行される自動クエリに加えて、クエリカードにある [手動実行を有効化] トグルを有効にすることで、クエリをオンデマンドで開始できます。[手動実行を有効化] オプションを無効にした場合、[資産の詳細] ページ ([インベントリ] > [すべての資産]) で 再同期の実行 を選択すると、OT Security はこのオプションをオーバーライドするかどうかのプロンプトが表示されます。

クエリテクノロジーの詳細については、OT Security テクノロジーを参照してください。

注意: クエリを無効にすると、OT Security が資産の特定に失敗する場合があります。OT Security は、パッシブモニタリングとアクティブクエリによってデバイスを追跡します。

ヒント: アクティブクエリを機能させるには、[アクティブクエリエンジンを有効にする] トグルをクリックします。アクティブクエリを有効にした後、OT Security はヘッダーに を表示し、クエリエンジンが実行中であることを示します。アクティブクエリを実行するには、各クエリを個別に有効化する必要があります。

[アクティブクエリ管理] ページでは、クエリが次のタイプに分類されます。クエリタイプごとに個別のクエリタブがあり、そのクエリのリストが表示されます。

  • OT クエリ — 専用プロトコルを使用して、コントローラーと埋込デバイスを安全にポーリングして詳細情報を取得するように設計されたクエリです。OT Security は、読み取り専用クエリを実行して、PLC の実行状態や、バックプレーンに接続されているその他のモジュールなどのデバイス情報を収集します。OT Security がサポートする専用プロトコルをリッスンしているデバイスにクエリをかけます。クエリタイプには、識別情報のクエリバックプレーンマッピング詳細のクエリ状態のクエリ、およびコードスナップショットがあります。

  • IT クエリOT Security が観察した IT タイプの監視対象資産から追加のデータポイントをフェッチするためのクエリです。NetBIOS を除き、IT タイプのクエリには認証情報が必要です。

    • NetBIOS クエリは、OT Security センサー または OT Security 自体のブロードキャスト範囲で NetBIOS をリッスンしているデバイスの検出を試みます。このクエリのタイプは、近くにある Windows デバイスを特定するのに適しています。

    • SNMP クエリは、SNMP v2 または SNMP v3 の認証情報を使用して、SNMP をサポートするネットワークインフラまたはネットワーク接続デバイスに対して識別詳細情報を求めます。OT Security は、SNMP システムの説明やその他のパラメーターを求めるクエリを実行し、資産文脈の追加やフィンガープリントの取得が簡単にできるようにします。

    • WMI 詳細クエリは、Windows ベースのシステムからさまざまな重要データポイントをフェッチします。これには、OT Security がクエリをかけるシステムに、Windows Management Instrumentation (WMI) サービスをポーリングするのに十分なアクセス許可を持つ Windows アカウント (ローカルまたはドメイン) がなければなりません。

    • WMI USB 状態クエリは、エンジニアリングワークステーションやサーバーなどの Windows デバイスに、USB ドライブやポータブルハードドライブなどのリムーバブルメディアが接続されているかどうかを判別します。このクエリは、Windows マシンの USB 設定の変更ポリシーが正しく機能するための前提条件となっており、このポリシーと密接に関連しています。

    • Nessus 基本スキャンは、IP アドレス、FQDN、オペレーティングシステム、オープンポートなどのシステムの詳細をフェッチします。

    • ARP クエリ (アドレス解決プロトコルクエリ) は、同じブロードキャストドメイン内にある IP 接続デバイスのネットワークインターフェースのハードウェアアドレスまたは MAC アドレスをフェッチします。

  • 検出 — これらのクエリは、OT Security が監視するネットワークにある資産をリアルタイムで検出します。

    • 資産検出 — インターネット制御メッセージプロトコル (ICMP) または ping を使用して、ライブ IP アドレスや応答する IP アドレスを検出します。

    • アクティブ資産追跡 — 既知の監視対象資産が稼働していて利用可能であることを確認するために、その資産に対して定期的に ping を試行します。

    • コントローラー検出 — 一連のマルチキャストパケットをネットワークに送信して、コントローラーまたは ICS デバイスに対し、それぞれの情報を OT Security に直接返信するように促します。

    • Ping クエリ — インターネット制御メッセージプロトコル (ICMP) の ping を送信して、資産が到達可能かどうかを検証します。

    • DNS ルックアップ — DNS サーバーの詳細をフェッチします。

    • ポートマッピング — 監視対象資産のオープンポートに関する詳細をフェッチします。

  • 初期強化 — 特定の基準または条件に基づく自動 OT Security クエリです。資産強化ベースのクエリは、Tenable が初めてデバイスをパッシブまたはアクティブに観察したときに実行されます。資産強化により、OT Security はデバイスがネットワーク上に現れると直ちにそのデバイスのフィンガープリントを取得して識別します。

  • Nessus スキャンTenable Nessus プラグインスキャンは高度な Nessus スキャンを起動します。このスキャンでは、CIDR と IP アドレスのリストで指定されている資産に対し、ユーザー定義リストに載っているプラグインを実行します。詳細は、Nessus プラグインスキャンの作成を参照してください。

カスタムクエリの作成

各クエリタイプには、定期的にまたはオンデマンドで実行することができるシステムのデフォルトのバリエーションがあります。その他にも、異なるプロジェクトや機能に対して固有の設定をして、クエリごとのバリエーションを追加で作成することができます。

たとえば、次のシナリオに対応したカスタムクエリを設定できます。

  • 工場内の複数の場所でメンテナンス時間が異なる

  • 複数の資産でプロジェクトと重大度が異なる

  • OT 部門と IT 部門でクエリが異なる

クエリバリエーションを作成する方法

  1. [アクティブクエリ] > [クエリ管理] に移動します。

    [アクティブクエリ管理] ページが表示されます。

  2. 必要なクエリタイプのタブをクリックします。

    OT Security がクエリタイプと利用可能なクエリのリストを表示します。

  3. 必要なクエリタイプセクションで、[クエリバリエーションの作成] をクリックします。

    [クエリバリエーションの作成] パネルが表示されます。

  4. [名前] ボックスにクエリの名前を入力します。

  5. [資産] ドロップダウンボックスで資産グループを選択します。

    注意: [検索] ボックスを使用して、特定のグループを検索することもできます。

  6. クエリを繰り返し実行する場合は、[定期実行] トグルをクリックします。

    OT Security は、[繰り返し間隔] セクションを有効にします。

  7. 数字を入力して、ドロップダウンボックスから [日] または [週] を選択します。特定のクエリでは [分][時間] を設定することもできます。

    [週] を選択した場合は、クエリを実行する曜日を指定します。

  8. [時刻] ボックスで、時計アイコンをクリックして時刻を選択するか手動で時刻を入力して、クエリを実行する時刻 (HH:MM:SS) を設定します。

  9. (資産検出のみ) [IP 範囲] ボックスに、資産の IP アドレスを入力します。

  10. (検出クエリのみ) [同時にポーリングする資産の数] ドロップダウンボックスで、資産の数 (10、20、または 30) を選択します。

  11. (検出クエリのみ) [検出クエリの間隔] ドロップダウンボックスで、検出クエリ間の間隔 (1 ~ 3 秒) を選択します。

  12. [保存] をクリックします。

    OT Security により、クエリが [カスタムバリエーション] テーブルに追加されます。

    クエリバリエーションの実行を参照してください。

制限の追加

特定の資産グループ (IP 範囲、OT サーバー、タブレット、医療機器、ドメインコントローラーなど) に対してクエリが実行されないようにブロックすることができます。特定のプロトコル (クライアント) に制限を適用することもできます。

制限を追加する方法

  1. [アクティブクエリ] > [クエリ管理] に移動します。

    [アクティブクエリ管理] ページが表示されます。

  2. 右上の [制限の追加] をクリックします。

    [制限の追加] パネルが表示されます。

  3. [ブロックされた資産] ドロップダウンボックスでブロックする資産グループを選択します。

    注意: 検索ボックスを使用して、特定の資産グループを検索できます。

  4. [制限されたクライアント] ドロップダウンボックスで、目的のクライアントを選択します。

  5. [ブラックアウト期間] ドロップダウンボックスで、アクティブクエリをブロックする期間を選択します。選択可能なオプションは、スケジュールグループに応じて変わります。デフォルトで表示されるオプションは、[なし][勤務時間] です。

  6. [保存] をクリックします。

    OT Security により、特定のクライアントと資産グループに制限が適用されます。各タブの上部に、制限があることを示すバナーが表示されます。

クエリバリエーションの編集

クエリの詳細を編集する方法

  1. [アクティブクエリ] > [クエリ管理] に移動します。

    [アクティブクエリ管理] ウィンドウが表示されます。

  2. クエリのリストから編集するクエリを選択し、次のいずれかを行います。

    • クエリを右クリックし、[編集] を選択します。

    • クエリを選択し、[アクション] > [編集] をクリックします。

    [クエリの編集] パネルが表示されます。

  3. 必要に応じてクエリを変更します。

  4. [保存] をクリックします。

    OT Security により、クエリバリエーションへの変更が保存されます。

クエリバリエーションの複製

  1. [アクティブクエリ] > [クエリ管理] に移動します。

    [クエリ管理] ページが表示されます。

  2. クエリのリストからコピーを作成するクエリを選択し、次のいずれかを実行します。

    • クエリを右クリックし、[複製] を選択します。

    • クエリを選択し、[アクション] > [複製] をクリックします。

    [クエリの複製] パネルが表示され、このパネルにクエリの詳細が表示されます。

  3. 必要に応じてクエリの名前と詳細を変更します。

  4. [保存] をクリックします。

    OT Security によりクエリが保存され、[クエリ] テーブルに表示されます。

クエリバリエーションの実行

必要な場合にはアクティブクエリを実行できます。

クエリを実行する方法

  1. [アクティブクエリ] > [クエリ管理] に移動します。

    [クエリ管理] ページが表示されます。

  2. クエリのリストから実行するクエリを選択し、次のいずれかを行います。

    • クエリを右クリックし、[今すぐ実行] を選択します。

    • [アクション] メニューで、[今すぐ実行] をクリックします。

    クエリを実行するかどうかの確認を求めるメッセージが表示されます。

  3. [OK] をクリックします。

    選択したクエリが OT Security により実行されます。

    注意: [とにかく試してみる] オプションを使用して、アクティブクエリ試行回数の制限を無視して、デバイスまたはネットワークでアクティブクエリを続行できます。

クエリログのダウンロード

クエリバリエーションの前回の実行ログをダウンロードできます。ログを使用して、アクティブクエリに含まれる資産やプロトコルに関する問題のトラブルシューティングを行うことができます。

直近のクエリログをダウンロードする方法

  1. [アクティブクエリ] > [クエリ管理] に移動します。

    [クエリ管理] ウィンドウが表示されます。

  2. クエリのリストから、ログをダウンロードするクエリを選択し、次のいずれかを行います。

    • クエリを右クリックし、[直近の実行ログをダウンロード] を選択します。

    • [アクション] メニューで、[直近の実行ログをダウンロード] をクリックします。

OT Security は、直近のアクティブクエリのログをダウンロードします。