グループ

グループは、ポリシーを構築するための基本的な構成要素です。ポリシーの設定時には、個別のエンティティではなくグループを使用して各ポリシー条件を設定します。OT Security にはいくつかの事前定義グループがあります。独自のユーザー定義グループを作成することもできます。Tenable では、ポリシーの編集と作成のプロセスを合理化するために、事前に必要なグループを設定することを推奨しています。

注意: ポリシーパラメーターを設定するときには、グループのみを使用できます。ポリシーを個々のエンティティに適用する場合でも、そのエンティティのみを含むグループを設定する必要があります。

グループの表示

グループを表示するには

  1. 左側のナビゲーションバーで [グループ] をクリックします。

    [グループ] セクションが展開され、グループタイプが表示されます。

[グループ] で、システムで設定されているすべてのグループを確認できます。グループは 2 つのカテゴリに分類されます。

  • 事前定義グループ — 事前設定されているグループで、編集できません。

  • ユーザー定義グループ — ユーザーが独自に作成および編集できるグループです。

いくつかの異なるタイプのグループがあり、それぞれがさまざまなポリシータイプの設定に使用されます。各グループタイプは、[グループ] で別の画面で表示されます。グループのタイプは次のとおりです。

  • 資産グループ — 資産はネットワーク内のハードウェアエンティティです。資産グループは、幅広いポリシータイプのポリシー条件として使用されます。

  • ネットワークセグメント — ネットワークセグメンテーションは、関連するネットワーク資産のグループを作成する方法で、ある資産グループを別の資産グループから論理的に分離するのに役立ちます。

  • E メールグループ — ポリシーイベントの発生時に通知される E メールのグループです。すべてのポリシータイプに使用されます。

  • ポートグループ — ネットワーク内の資産によって使用されるポートのグループです。オープンポートを識別するポリシーに使用されます。

  • プロトコルグループ — ネットワーク内の資産間で行われる対話に使用されるプロトコルのグループです。ネットワークイベントのポリシー条件として使用されます。

  • スケジュールグループ — スケジュールグループは、指定したイベントが発生する時間がポリシー条件を満たす時間範囲を設定するために使用されます。

  • タググループ — タグは、特定の操作データを含むコントローラーのパラメーターです。タググループは、SCADA イベントのポリシー条件として使用されます。

  • ルールグループ — ルールグループは、Suricata Signature ID (SID) で識別される関連ルールのグループで構成されます。これらのグループは、侵入検知ポリシーを定義するためのポリシー条件として使用されます。

次のセクションでは、各タイプのグループを作成する手順について説明します。また、既存のグループを表示、編集、複製、削除することもできます。グループのアクションを参照してください。

資産グループ

資産はネットワーク内のハードウェアエンティティです。類似の資産をグループ化すると、グループ内のすべての資産に適用されるポリシーを作成できます。たとえば、資産グループコントローラーを使用して、任意のコントローラーに対するファームウェアの変更をアラートするポリシーを作成できます。資産グループは、幅広いポリシータイプのポリシー条件として使用されます。資産グループを使用して、さまざまなポリシータイプのソース資産、デスティネーション資産、影響を受ける資産を指定できます。

ネットワークセグメント

ネットワークセグメンテーションを使用すると、関連するネットワーク資産のグループを作成できるため、資産グループを論理的に分離できます。OT Security は、ネットワーク内の資産に関連付けられている各 IP アドレスをネットワークセグメントに自動的に割り当てます。複数の IP アドレスを持つ資産の場合、各 IP はネットワークセグメントに関連付けられます。自動生成された各セグメントには、同じクラス C ネットワークアドレス (IP の最初の 24 ビットが同じ) の IP を持つ特定のカテゴリ (コントローラー、OT サーバー、ネットワークデバイスなど) のすべての資産が含まれます。

ユーザー定義のネットワークセグメントを作成し、そのセグメントに割り当てる資産を指定できます。[インベントリ] 画面には各資産のネットワークセグメントを表示する列があり、ネットワークセグメントで資産を簡単にソートおよびフィルタリングできます。

E メールグループ

E メールグループは、関連する当事者の E メールのグループです。E メールグループは、特定のポリシーによってトリガーされるイベント通知の受信者を指定するために使用されます。たとえば、ロール、部門などでグループ化すると、特定のポリシーイベントの通知を関連する当事者に送信できます。

ポートグループ

ポートグループは、ネットワークの資産によって使用されるポートのグループです。ポートグループは、オープンポートネットワークイベントポリシーを定義するためのポリシー条件として使用され、ネットワークでオープンポートを検出します。

[事前定義] タブには、システムで事前定義されているポートグループが表示されます。これらのグループは、特定のベンダーのコントローラーで開かれることが想定されているポートで構成されています。たとえば、Group Siemens PLC のオープンポートには、20、21、80、102、443、502 が含まれています。これにより、そのベンダーからのコントローラーに対して開かれることが想定されていないオープンポートを検出するポリシー設定が可能になります。これらのグループは、編集や削除はできませんが、複製することができます。

[ユーザー定義] タブには、ユーザーが作成したカスタムグループが含まれています。これらのグループは編集、複製、削除できます。

プロトコルグループ

プロトコルグループは、ネットワーク内の資産間で行われる対話に使用されるプロトコルのセットです。プロトコルグループはネットワークポリシーのポリシー条件として使用され、特定の資産間で使用されるどのプロトコルがポリシーをトリガーするかも定義します。

OT Security には、関連するプロトコルを構成する一連の定義済みプロトコルグループがあります。これらのグループは、ポリシーで使用できますが、これらのグループは編集または削除できません。プロトコルは、特定のベンダーによって許可されているプロトコルによってグループ化できます。

たとえば、Schneider で許可されているプロトコルには、TCP:80 (HTTP)、TCP:21 (FTP)、Modbus、Modbus_UMAS、Modbus_MODICON、TCP:44818 (CIP)、UDP:69 (TFTP)、UDP:161 (SNMP)、UDP:162 (SNMP)、UDP:44818、UDP:67-68 (DHCP) があります。プロトコルのタイプ (Modbus、PROFINET、CIP など) でグループ化することもできます。独自のユーザー定義プロトコルグループを作成することもできます。

スケジュールグループ

スケジュールグループは、スケジュール設定された期間内に発生するアクティビティを注目に値する特性を持った時間範囲または時間範囲のグループを定義します。たとえば、特定のアクティビティは勤務時間中に発生することが予想され、他のアクティビティはダウンタイム中に発生することが予想されます。

タググループ

タグは、特定の操作データを含むコントローラーのパラメーターです。タググループは、SCADA イベントポリシーのポリシー条件として使用されます。同様の役割を担うタグをグループ化することで、指定されたパラメーターに対する疑わしい変更を検出するポリシーを作成できます。たとえば、ファーネスの温度を制御するタグをグループ化することで、ファーネスに害を及ぼす可能性のある温度変化を検出するポリシーを作成できます。

ルールグループ

ルールグループは、Suricata Signature ID (SID) で識別される関連ルールのグループで構成されます。これらのグループは、侵入検知ポリシーを定義するためのポリシー条件として使用されます。

OT Security は、関連する脆弱性の定義済みグループのセットを提供します。さらに、提供する脆弱性のリポジトリから個別のルールを選択し、独自のカスタムルールグループを作成できます。

グループのアクション

グループ画面のいずれかでグループを選択すると、画面上部の [アクション] メニューで次のアクションを実行できます。

  • 表示 — グループに含まれているエンティティや、グループをポリシー条件として使用しているポリシーなど、選択したグループに関する詳細が表示されます。グループの詳細の表示を参照してください。

  • 編集 — グループの詳細を編集します。グループを編集するを参照してください。

  • 複製 — 指定されたグループと同様の設定で新しいグループを作成します。グループの複製を参照してください。

  • 削除 — システムからグループを削除します。グループを削除するを参照してください。

    注意: 事前定義グループを編集または削除することはできません。一部の事前定義グループでは複製もできません。[アクション] メニューは、グループを右クリックしてアクセスすることもできます。