Groupes

Les groupes sont des éléments indispensables dans l'élaboration des politiques. Lorsque vous configurez une politique, vous définissez chaque condition à l'aide de groupes et non pas d'entités individuelles. OT Security est livré avec quelques groupes prédéfinis. Vous pouvez également créer vos propres groupes personnalisés. Pour fluidifier la modification et la création de politiques, Tenable recommande de configurer à l'avance les groupes dont vous avez besoin.

Remarque : vous ne pouvez définir des paramètres de politique qu'en utilisant des groupes. Pour qu'une politique s'applique à une entité particulière, vous devez configurer un groupe comprenant uniquement cette entité.

Afficher les groupes

Pour afficher les groupes :

  1. Dans la barre de navigation de gauche, cliquez sur Groupes.

    La section Groupes se développe pour afficher les types de groupes.

Sous Groupes, vous pouvez afficher tous les groupes configurés dans votre système. Les groupes sont divisés en deux catégories :

  • Groupes prédéfinis – Ils sont préconfigurés ; vous ne pouvez pas les modifier.

  • Groupes définis par l'utilisateur – Vous pouvez créer et modifier ces groupes.

Il existe plusieurs types de groupes, chacun étant utilisé pour la configuration de divers types de politiques. Chaque type de groupe est affiché sur un écran séparé sous Groupes. Les types de groupes sont :

  • Groupes d'assets – Les assets sont des entités matérielles du réseau. Les groupes d'assets sont utilisés comme condition pour un grand nombre de types de politiques.

  • Segments réseau – La segmentation du réseau est une méthode de création de groupes d'assets réseau associés, qui permet d'isoler logiquement un groupe d'assets d'un autre.

  • Groupes de messagerie – Groupes d'e-mails qui sont notifiés lorsqu'un événement lié à une politique se produit. Utilisés pour tous les types de politiques.

  • Groupes de ports – Groupes de ports utilisés par les assets du réseau. Utilisés pour les politiques qui identifient les ports ouverts.

  • Groupes de protocoles – Groupes de protocoles par lesquels les communications sont menées entre les assets du réseau. Utilisés comme condition de politique pour les événements réseau.

  • Groupes de planification – Les groupes de planification sont des plages temporelles utilisées pour configurer la date et l'heure auxquelles l'événement spécifié doit se produire pour remplir les conditions de la politique.

  • Groupes de tags – Les tags sont des paramètres dans les contrôleurs qui contiennent des données opérationnelles spécifiques. Les groupes de tags sont utilisés comme condition de politique pour les événements SCADA.

  • Groupes de règles – Les groupes de règles comprennent un ensemble de règles associées, reconnues par leurs identifiants de signature (SID) Suricata. Ces groupes sont utilisés comme conditions pour définir des politiques de détection d'intrusion.

La procédure de création de chaque type de groupe est décrite dans les sections suivantes. De plus, vous pouvez afficher, modifier, dupliquer ou supprimer un groupe existant. Voir Actions sur les groupes.

Groupes d'assets

Les assets sont des entités matérielles du réseau. Le regroupement d'assets similaires vous permet de créer des politiques qui s'appliquent à tous les assets du groupe. Par exemple, vous pouvez utiliser un groupe d'assets nommé Contrôleur pour créer une politique qui alerte en cas de modification apportée au firmware d'un contrôleur. Les groupes d'assets sont utilisés comme condition pour un grand nombre de types de politiques. Les groupes d'assets peuvent être utilisés pour spécifier l'asset source, l'asset cible ou l'asset affecté pour différents types de politiques.

Segments réseau

Grâce à la segmentation du réseau, vous pouvez créer des groupes d'assets réseau associés, afin d'isoler logiquement les groupes d'assets les uns des autres. OT Security attribue automatiquement à un segment réseau chaque adresse IP associée à un asset de votre réseau. Pour les assets avec plus d'une adresse IP, chaque adresse IP est associée à un segment réseau. Chaque segment généré automatiquement inclut tous les assets d'une catégorie spécifique (contrôleur, serveurs OT, appareils réseau, etc.) qui ont des adresses IP avec la même adresse réseau de classe C (les IP ont les mêmes premiers 24 bits).

Vous pouvez créer des segments réseau définis par l'utilisateur et préciser les assets affectés à ce segment. Sur l'écran Inventaire, une colonne indique le segment réseau pour chaque asset, facilitant ainsi le tri et le filtrage de vos assets par segment réseau.

Groupes de messagerie

Les groupes de messagerie sont des groupes contenant les adresses e-mail de parties concernées. Les groupes de messagerie sont utilisés pour préciser les destinataires des notifications d'événement déclenchées par des politiques spécifiques. Par exemple, le regroupement par rôle ou par service (entre autres) vous permet d'envoyer aux parties concernées les notifications liées à des politiques d'événements spécifiques.

Groupes de ports

Les groupes de ports sont des groupes de ports utilisés par les assets du réseau. Les groupes de ports sont utilisés comme condition pour définir les politiques d'événement réseau Port ouvert, qui détectent les ports ouverts sur le réseau.

L'onglet Prédéfinis affiche les groupes de ports prédéfinis dans le système. Ces groupes comprennent les ports censés être ouverts sur les contrôleurs d'un fournisseur spécifique. Par exemple, le groupe Siemens PLC Open Ports (Ports Ouverts Siemens PLC) comprend : 20, 21, 80, 102, 443 et 502. Cela permet la configuration de politiques détectant les ports qui ne sont pas censés être ouverts pour les contrôleurs de ce fournisseur. Ces groupes ne peuvent pas être modifiés, dupliqués ni supprimés.

L'onglet Définis par l'utilisateur contient les groupes personnalisés créés par l'utilisateur. Vous pouvez modifier, dupliquer ou supprimer ces groupes.

Groupes de protocoles

Il s'agit des protocoles utilisés pour les communications entre les assets du réseau. Les groupes de protocoles sont une condition des politiques réseau. Ils définissent également les protocoles utilisés entre des assets donnés qui déclenchent une politique.

OT Security est livré avec un ensemble de groupes de protocoles prédéfinis qui comprennent des protocoles associés. Ces groupes sont disponibles pour une utilisation dans les politiques. Vous pouvez modifier ou supprimer ces groupes. Les protocoles peuvent être regroupés en fonction des protocoles autorisés par un fournisseur spécifique.

Par exemple, les protocoles autorisés par Schneider incluent : TCP:80 (HTTP), TCP:21 (FTP), Modbus, Modbus_UMAS, Modbus_MODICON, TCP:44818 (CIP), UDP:69 (TFTP), UDP:161 (SNMP), UDP:162 (SNMP), UDP:44818, UDP:67-68 (DHCP). Ils peuvent être également regroupés par type de protocole (Modbus, PROFINET, CIP, etc.). Vous pouvez également créer vos propres groupes de protocole.

Groupe de planification

Un groupe de planification définit une ou plusieurs plages temporelles dont les caractéristiques particulières rendent les activités qui se produisent pendant cette période dignes d'intérêt. Par exemple, certaines activités sont censées avoir lieu pendant les heures ouvrées, tandis que d'autres activités sont censées avoir lieu pendant les temps d'arrêt.

Groupes de tags

Les tags sont des paramètres dans les contrôleurs qui contiennent des données opérationnelles spécifiques. Les groupes de tags sont utilisés comme condition pour les politiques d'événements SCADA. Le regroupement de tags aux rôles similaires permet de créer des politiques qui détectent les modifications suspectes du paramètre spécifié. Par exemple, en regroupant des tags qui contrôlent la température des fours, vous pouvez créer une politique qui détecte les changements de température qui pourraient être nocifs pour les fours.

Groupes de règles

Les groupes de règles sont constitués d'un ensemble de règles associées identifiées par leur ID de signature Suricata (SID). Ces groupes sont utilisés comme conditions pour définir des politiques de détection d'intrusion.

OT Security fournit un ensemble de groupes prédéfinis de vulnérabilités associées. De plus, vous pouvez sélectionner des règles spécifiques dans notre référentiel de vulnérabilités afin de créer vos propres groupes de règles personnalisés.

Actions sur les groupes

Lorsque vous sélectionnez un groupe dans n'importe quel écran de groupe, utilisez le menu Actions en haut de l'écran pour effectuer les actions suivantes :

  • Afficher – Affiche des détails sur le groupe sélectionné, tels que les entités incluses dans le groupe et les politiques qui utilisent le groupe comme condition. Voir Afficher les détails d'un groupe

  • Modifier – Modifie les détails du groupe. Voir Modifier un groupe

  • Dupliquer – Crée un groupe avec une configuration similaire au groupe spécifié. Voir Dupliquer un groupe

  • Supprimer – Supprime le groupe du système. Voir Supprimer un groupe

    Remarque : vous ne pouvez pas modifier ni supprimer de groupes prédéfinis. Certains groupes prédéfinis ne peuvent pas non plus être dupliqués. Le menu Actions est également accessible en effectuant un clic droit sur un groupe.