Gestion des requêtes actives

La page Gestion des requêtes actives vous permet de configurer et d'activer des requêtes actives. Dans le cadre de la configuration initiale, Tenable recommande d'activer toutes les fonctionnalités de requête. À tout moment, vous pouvez activer/désactiver n'importe laquelle des fonctions de requête. Vous pouvez également ajuster les paramètres pour définir quand et comment les requêtes sont exécutées.

En plus des requêtes automatiques qui sont exécutées périodiquement, vous pouvez lancer des requêtes à la demande en activant le curseur Activer l'exécution manuelle dans la fiche de la requête. Si vous désactivez l'option Activer l'exécution manuelle, OT Security vous invite à contourner ce réglage lorsque vous sélectionnez Exécuter une resynchronisation sur la page Détails de l'asset (Inventaire > Tous les assets).

Pour plus d'informations sur la technologie de requête, voir Technologies OT Security.

Remarque : il se peut que OT Security ne parvienne pas à identifier les assets lorsque vous désactivez des requêtes. OT Security assure le suivi des appareils par le biais d'une surveillance passive et de requêtes actives.

Conseil : pour permettre aux requêtes actives de fonctionner, cliquez sur la curseur Moteur de requêtes actives activé. Après avoir activé les requêtes actives, OT Security affiche l'icône sur l'en-tête pour indiquer que le moteur de requête est en cours d'exécution. Pour exécuter des requêtes actives, vous devez toujours activer chaque requête séparément.

La page Gestion des requêtes actives répartit les requêtes en différentes catégories. Chaque type de requête possède son propre onglet qui affiche la liste de requêtes correspondantes.

  • Requêtes OT — Ces requêtes interrogent les contrôleurs et les appareils intégrés en toute sécurité pour obtenir plus d'informations en utilisant leurs protocoles propriétaires. OT Security effectue des requêtes en lecture seule pour collecter des informations sur les appareils, et notamment connaître l'état de fonctionnement du PLC et d'autres modules connectés au fond de panier. Les appareils qui écoutent les protocoles propriétaires pris en charge par OT Security sont interrogés. Les types de requêtes sont Requête d'identification, Mappage de fond de panier, Requête de détails, Requête d'état et Instantanés de code.

  • Requêtes IT — ll s'agit des requêtes qui récupèrent des points de données supplémentaires à partir d'assets de type IT surveillés que OT Security observe. À l'exception de NetBIOS, ces requêtes de type IT nécessitent des informations d'authentification.

    • La requête NetBIOS tente de découvrir tous les appareils qui écoutent NetBIOS dans la plage de diffusion de Capteur OT Security ou de OT Security lui-même. Ce type de requête permet d'identifier les appareils Windows à proximité.

    • La requête SNMP utilise les informations d'authentification SNMP v2 ou SNMP v3 pour solliciter l'infrastructure réseau ou les appareils en réseau qui prennent en charge le protocole SNMP, afin d'obtenir leurs détails d'identification. OT Security demande la description du système SNMP et d'autres paramètres pour ajouter un contexte à l'asset et créer son empreinte digitale.

    • La requête de détails WMI récupère divers points de données importants à partir des systèmes Windows. Le système interrogé par OT Security doit disposer d'un compte Windows (local ou domaine) avec les autorisations suffisantes pour interroger le service WMI (Windows Management Instrumentation).

    • Les requêtes d'état USB WMI déterminent si des supports amovibles tels que des clés USB ou des disques durs portables sont connectés à l'appareil Windows, comme une station de travail ingénieur ou un serveur d'ingénierie. Cette requête est étroitement liée à la politique de changement de la configuration USB sur les machines Windows, car il s'agit d'une condition préalable au bon fonctionnement de cette politique.

    • Le scan Nessus de base récupère des détails du système tels que l'adresse IP, le nom de domaine complet (FQDN), les systèmes d'exploitation et les ports ouverts.

    • La requête ARP (protocole de résolution d'adresse) récupère l'adresse matérielle de l'interface réseau ou l'adresse MAC des appareils connectés par IP dans le même domaine de diffusion.

  • Découverte — Ces requêtes détectent les assets en direct sur le réseau que OT Security surveille.
    • Découverte des assets — Utilise le protocole ICMP (Internet Control Message Protocol) ou ping pour détecter les adresses IP actives et qui répondent.

    • Suivi des assets actifs — Tente régulièrement d'interroger un asset connu et surveillé pour déterminer s'il est toujours opérationnel et disponible.

    • Découverte des contrôleurs — Envoie un ensemble de paquets multicast au réseau pour que les contrôleurs ou les appareils ICS répondent directement à OT Security en donnant leurs informations.

    • Requête ping — Envoie des pings ICMP (Internet Control Message Protocol) pour vérifier si un asset est joignable.

    • Recherche DNS — Récupère les détails du serveur DNS.

    • Mappage de port — Récupère des détails à propos des ports ouverts sur les assets surveillés.

  • Enrichissement initial — Requêtes OT Security automatiques reposant sur certains critères ou certaines conditions. Les requêtes basées sur l'enrichissement des assets sont exécutées chaque fois que Tenable observe pour la première fois un appareil de manière passive ou active. Grâce à l'enrichissement des assets, OT Security prend les empreintes digitales de l'appareil et l'identifie dès qu'il apparaît sur le réseau.

  • Scan Nessus — Le scan de plug-in Tenable Nessus lance un scan Nessus avancé qui exécute une liste définie par l'utilisateur de plug-ins sur les assets spécifiés dans la liste de CIDR et d'adresses IP. Pour plus d'informations, voir Créer des scans des plug-ins Nessus.

Créer des requêtes personnalisées

Chaque type de requête a une variante système par défaut que vous pouvez exécuter périodiquement ou à la demande. Vous pouvez également créer des variantes supplémentaires de chaque requête, avec leur propre configuration, pour différents projets et fonctions.

Par exemple, vous pouvez configurer des requêtes personnalisées pour les scénarios suivants :

  • Différentes intervalles de maintenance pour différents secteurs de l'usine

  • Différents projets et criticité variable pour différents assets

  • Différentes requêtes pour les fonctions OT et les fonctions IT

Pour créer une variante de requête :

  1. Accédez à Requêtes actives > Gestion des requêtes.

    La page Gestion des requêtes actives apparaît.

  2. Cliquez sur l'onglet de type de requête concerné.

    OT Security affiche le type de requête avec la liste des requêtes disponibles.

  3. Dans la section du type de requête requis, cliquez sur Créer une variante de requête.

    Le panneau Créer une variante de requête apparaît.

  4. Dans la zone Nom, saisissez le nom de la requête.

  5. Dans la zone déroulante Assets, sélectionnez un groupe d'assets.

    Remarque : vous pouvez également utiliser la zone de recherche pour rechercher un groupe particulier.
  6. Pour répéter la requête, cliquez sur la curseur Exécution récurrente.

    OT Security active la section Répéter chaque.

  7. Saisissez un nombre et sélectionnez Jours ou Semaines dans la zone déroulante. Pour certaines requêtes, vous pouvez également définir des minutes et des heures.

    Si vous sélectionnez Semaines, indiquez les jours de la semaine d'exécution des requêtes.

  8. Dans la zone À, définissez l'heure d'exécution des requêtes (au format heure, minutes, secondes) en cliquant sur l'icône d'horloge et en sélectionnant l'heure, ou en saisissant l'heure manuellement.

  9. (Uniquement pour la découverte des assets) Dans la zone Plages d'adresses IP, saisissez les adresses IP des assets.

  10. (Uniquement pour les requêtes de découverte) Dans la zone déroulante Nombre d'assets à interroger simultanément, sélectionnez le nombre d'assets (10, 20 ou 30).

  11. (Uniquement pour les requêtes de découverte) Dans la zone déroulante Temps entre les requêtes de découverte, sélectionnez l'intervalle entre les requêtes de découverte (1 à 3 secondes).

  12. Cliquez sur Enregistrer.

    OT Security ajoute la requête au tableau Variantes personnalisées.

    Voir Exécuter une variante de requête.

Ajouter des restrictions

Vous pouvez empêcher les requêtes de s'exécuter sur certains groupes d'assets, tels que des plages d'adresses IP, des serveurs OT, des tablettes, des dispositifs médicaux, des contrôleurs de domaine, etc. Vous pouvez également appliquer des restrictions à des protocoles spécifiques (clients).

Pour ajouter des restrictions :

  1. Accédez à Requêtes actives > Gestion des requêtes.

    La page Gestion des requêtes actives apparaît.

  2. Dans le coin supérieur droit, cliquez sur Ajouter des restrictions.

    Le panneau Ajouter des restrictions s'affiche.

  3. Dans la zone déroulante Assets bloqués, sélectionnez les groupes d'assets à bloquer.

    Remarque : vous pouvez utiliser la zone de recherche pour rechercher des groupes d'assets spécifiques.
  4. Dans la zone déroulante Clients restreints, sélectionnez les clients requis.

  5. Dans la zone déroulante Période d'indisponibilité, sélectionnez la durée de blocage des requêtes actives. Les options disponibles dépendent des groupes de planification. Les options par défaut sont : Aucune, Heures ouvrées.

  6. Cliquez sur Enregistrer.

    OT Security applique les restrictions aux clients et aux groupes d'assets. En haut de chaque onglet, une bannière indique que des restrictions sont en place.

Modifier la variante de requête

Pour modifier les détails d'une requête :

  1. Accédez à Requêtes actives > Gestion des requêtes.

    La fenêtre Gestion des requêtes actives apparaît.

  2. Dans la liste des requêtes, sélectionnez celle qui doit être modifiée et effectuez l'une des opérations suivantes :

    • Effectuez un clic droit sur la requête et sélectionnez Modifier.

    • Sélectionnez la requête, puis cliquez sur Actions > Modifier.

    Le panneau Modifier la requête apparaît.

  3. Modifiez la requête selon les besoins.

  4. Cliquez sur Enregistrer.

    OT Security enregistre les modifications apportées à la variante de requête.

Dupliquer une variante de requête

  1. Accédez à Requêtes actives > Gestion des requêtes.

    La page Gestion des requêtes actives apparaît.

  2. Dans la liste des requêtes, sélectionnez celle à dupliquer et effectuez l'une des opérations suivantes :

    • Effectuez un clic droit sur la requête et sélectionnez Dupliquer.

    • Sélectionnez la requête, puis cliquez sur Actions > Dupliquer.

    Le panneau Dupliquer la requête apparaît avec les détails de la requête.

  3. Renommez la requête et modifiez les détails selon les besoins.

  4. Cliquez sur Enregistrer.

    OT Security enregistre la requête, qui apparaît ensuite dans le tableau Requêtes.

Exécuter une variante de requête

Vous pouvez exécuter des requêtes actives en cas de besoin.

Pour exécuter une requête :

  1. Accédez à Requêtes actives > Gestion des requêtes.

    La page Gestion des requêtes actives apparaît.

  2. Dans la liste des requêtes, sélectionnez celle que vous souhaitez exécuter et exécutez l'une des actions suivantes :

    • Effectuez un clic droit sur la requête et sélectionnez Exécuter maintenant.

    • Dans le menu Actions, cliquez sur Exécuter maintenant.

    Un message demande de confirmer l'exécution de la requête.

  3. Cliquez sur OK.

    OT Security exécute la requête sélectionnée.

    Remarque : vous pouvez utiliser l'option Essayer quand même pour exécuter des requêtes actives sur les appareils ou le réseau en dépassant la limite du nombre de tentatives de requêtes actives.

Télécharger le journal de requête

Vous pouvez télécharger le journal de la dernière exécution d'une variante de requête. Vous pouvez utiliser le journal pour résoudre les problèmes affectant n'importe lequel des assets ou des protocoles inclus dans la requête active.

Pour télécharger le dernier journal de requête :

  1. Accédez à Requêtes actives > Gestion des requêtes.

    La fenêtre Gestion des requêtes apparaît.

  2. Dans la liste des requêtes, sélectionnez celle dont vous voulez télécharger le journal et exécutez l'une des actions suivantes :

    • Effectuez un clic droit sur la requête et sélectionnez Télécharger le dernier journal d'exécution.

    • Dans le menu Actions, cliquez sur Télécharger le dernier journal d'exécution.

OT Security télécharge le journal de la dernière requête active.