Configuration de l'environnement

Réseaux surveillés

La configuration du réseau surveillé contient un ensemble de plages d'adresses IP (CIDR/sous-réseaux) qui définissent les limites de surveillance pour OT Security. OT Security ignore les assets en dehors des plages configurées.

Par défaut, OT Security configure trois plages publiques par défaut : 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16, ainsi que la plage de lien local de 169.254.0.0/16 (APIPA).

Pour désactiver l'une des plages par défaut ou pour ajouter des plages appropriées à votre réseau :

  1. Sous Paramètres locaux, accédez à Configuration de l'environnement > Paramètres de l'asset.

    La fenêtre Paramètres de l'asset apparaît.

  2. Cliquez sur Modifier.

    Le panneau Réseau surveillé apparaît.

  3. Sélectionnez les Plages d'adresses IP par défaut requises et/ou ajoutez des Plages d'adresses IP supplémentaires (une plage d'adresses IP par ligne) dans la zone de texte désignée.

  4. Cliquez sur Enregistrer.

    OT Security enregistre la configuration du réseau surveillé.

Ajouter des assets manuellement

Pour suivre votre inventaire, vous souhaiterez peut-être afficher d'autres assets que vous possédez, même s'ils n'ont pas encore été détectés par OT Security. Vous pouvez ajouter manuellement ces assets à votre inventaire en téléchargeant et en modifiant un fichier CSV, puis en chargeant le fichier sur le système. Vous ne pouvez charger que les assets dont l'adresse IP n'est pas déjà utilisée par un asset existant dans le système. Si le système détecte un asset qui communique sur le réseau avec la même adresse IP, il utilise les informations récupérées sur l'asset détecté et écrase les informations précédemment chargées. Le système commence à voir l'asset comme un élément normal lorsqu'il détectera ses communications sur le réseau.

Les adresses IP des assets chargés sont comptabilisées dans la licence du système.

Les assets chargés affichent un score de risque de 0 jusqu'à ce que OT Security les détecte.

Remarque : lorsque des assets sont ajoutés manuellement, aucun événement n'est détecté pour ces assets jusqu'à ce que OT Security détecte leur communication sur le réseau.

Pour ajouter des assets manuellement :

  1. Sous Paramètres locaux, accédez à Configuration de l'environnement > Paramètres de l'asset.

    L'écran Paramètres de l'asset apparaît.

  2. Dans Ajouter des assets manuellement, cliquez sur le bouton Actions et dans le menu déroulant, sélectionnez Télécharger le modèle CSV.

    OT Security télécharge le modèle de document tot_Assets.

  3. Ouvrez le document modèle tot_Assets.

  4. Modifiez le modèle tot_Assets en suivant précisément les instructions trouvées dans le fichier, en ne laissant que les en-têtes de colonne (Nom, Type, etc.) et les valeurs que vous saisissez.

  5. Enregistrez le fichier modifié.

  6. Revenez à l'écran Paramètres des assets.

  7. Depuis le menu Actions, sélectionnez Charger un fichier CSV, accédez au fichier CSV souhaité et ouvrez-le pour le charger.

  8. Dans Ajouter des assets manuellement, cliquez sur Télécharger le rapport.

    Un fichier CSV avec un rapport apparaît, indiquant les réussites et les échecs dans la colonne Result (Résultat). Les détails des erreurs sont affichés dans la colonne Erreur.

Groupes d'événements

Pour faciliter le suivi des événements, plusieurs événements aux caractéristiques communes sont regroupés pour former un cluster. Le clustering est basé sur le type d'événement (c'est-à-dire, les événements qui ont une même politique en commun), les assets sources et cibles, etc.

Pour regrouper des événements dans un cluster, ils doivent être générés dans les intervalles de temps configurés suivants :

  • Temps maximal entre événements consécutifs – Définit l'intervalle de temps maximal entre les événements. Au-delà de ce délai, les événements consécutifs ne sont pas mis en cluster.

  • Temps maximum entre le premier et le dernier événement – Définit l'intervalle de temps maximal pour que tous les événements soient affichés dans un cluster. Un événement généré après cet intervalle de temps ne fait pas partie du cluster.

Pour activer le clustering :

  1. Accédez à Paramètres locaux, Configuration de l'environnement > Clusters d'événements.

    L'écran Clusters d'événements apparaît.

  2. Cliquez sur le curseur pour activer les catégories souhaitées pour le clustering.

  3. Pour configurer les intervalles de temps pour une catégorie, cliquez sur Modifier.

    La fenêtre Modifier la configuration apparaît.

  4. Saisissez la valeur numérique requise dans la zone numérique et l'unité de temps dans la zone déroulante.

    Remarque : pour plus d'informations sur le clustering et les intervalles de temps, cliquez sur l'icône .
  5. Cliquez sur Enregistrer.

Lecteur PCAP

OT Security permet de charger un fichier PCAP (capture de paquet) contenant l'activité réseau enregistrée et de le « lire » sur OT Security. Lorsque vous « lisez » un fichier PCAP, OT Security surveille le trafic réseau et enregistre toutes les informations sur les assets détectés, l'activité réseau et les vulnérabilités comme si le trafic se produisait au sein de votre réseau. Vous pouvez utiliser cette fonctionnalité à des fins de simulation ou pour analyser le trafic en dehors du réseau que OT Security surveille, des usines distantes, par exemple.

Remarque : le lecteur PCAP prend en charge ces types de fichiers : .pcap, .pcapng, .pcap.gz,.pcapng.gz. Vous pouvez utiliser des fichiers qui ont été enregistrés par une instance de OT Security ou d'autres outils de surveillance du réseau.

Charger un fichier PCAP

Pour charger un fichier PCAP :

  1. Accédez à Paramètres locaux > Configuration de l'environnement > Lecteur PCAP.

  2. Cliquez sur Charger le fichier PCAP.

    L'explorateur de fichiers apparaît.

  3. Sélectionnez l'enregistrement PCAP souhaité.

  4. Cliquez sur Ouvrir.

    OT Security charge le fichier PCAP sur le système.

Lire un fichier PCAP

Pour lire un fichier PCPAP :

  1. Accédez à Paramètres locaux > Configuration de l'environnement > Lecteur PCAP.

  2. Sélectionnez l'enregistrement PCAP à lire.

  3. Cliquez sur Actions > Lire.

    L'assistant Lire le PCAP apparaît.

  4. Dans la zone déroulante Vitesse de lecture, sélectionnez la vitesse de lecture du fichier par le système.

    Les options sont : 1X, 2X, 4X, 8X ou 16X.

    Remarque : la lecture d'un fichier PCAP injecte des données dans le système. Cette opération est irréversible ou ne peut pas être arrêtée une fois lancée.
  5. Cliquez sur Lire.

    Le système lit le fichier PCAP. Toute l'activité du réseau dans le fichier PCAP est enregistrée dans le système et les assets identifiés par le système sont ajoutés à l'inventaire des assets.

    Remarque : vous ne pouvez pas lire un autre fichier PCAP pendant qu'un fichier est en cours de lecture.