Configuration de l'environnement

Paramètres des assets

La page Paramètres des assets comprend les sections suivantes :

Réseaux surveillés

La configuration du réseau surveillé contient un ensemble de plages d'adresses IP (CIDR/sous-réseaux) qui définissent les limites de surveillance pour OT Security. OT Security ignore les assets en dehors des plages configurées.

Par défaut, OT Security configure trois plages publiques par défaut : 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16, ainsi que la plage de lien local de 169.254.0.0/16 (APIPA).

Pour désactiver l'une des plages par défaut ou pour ajouter des plages appropriées à votre réseau :

  1. Sous Paramètres locaux, accédez à Configuration de l'environnement > Paramètres de l'asset.

    La fenêtre Paramètres de l'asset apparaît.

  2. Dans la section Réseau surveillé, cliquez sur Modifier.

    Le panneau Réseau surveillé apparaît.

  3. Sélectionnez les Plages d'adresses IP par défaut requises et/ou ajoutez des Plages d'adresses IP supplémentaires (une plage d'adresses IP par ligne) dans la zone de texte désignée.

  4. Cliquez sur Enregistrer.

    OT Security enregistre la configuration du réseau surveillé.

Réseaux internes dupliqués

Un chevauchement de plages d'adresses IP se produit lorsqu'une même adresse IP est attribuée à plusieurs appareils. Il est fréquent que des plages d'adresses IP se chevauchent dans les environnements de fabrication, ce qui complique l'identification et le suivi précis des assets et entraîne comme conséquences un manque de visibilité, des associations d'assets incorrectes, etc. Vous pouvez définir des chevauchements de réseaux pour OT Security afin de suivre les assets avec précision, même lorsque les adresses IP sont réutilisées sur différents segments.

Ajouter un réseau dupliqué

Avant de commencer

  • Assurez-vous d'avoir appairé des capteurs authentifiés.

    Remarque : OT Security ne prend pas en charge les réseaux dupliqués sur des capteurs non authentifiés.

Pour définir les réseaux dupliqués dans votre environnement :

  1. Accédez à Paramètres locaux > Configuration de l'environnement > Paramètres de l'asset.

    La page Paramètres de l'asset apparaît.

  2. Dans la section Réseaux internes dupliqués, cliquez sur Ajouter un réseau.

    Le panneau Ajouter un réseau dupliqué apparaît avec les détails du réseau.

    Remarque : OT Security utilise la plage d'adresses IP 240.0.0.0/4 comme groupe de réserve interne pour le mappage d'adresses IP pour l'allocation d'adresses IP NAT. Pour modifier cette plage de groupe de réserve, contactez l'assistance Tenable.

  3. Dans la zone Plage d'adresses IP dupliquée, saisissez la plage d'adresses IP au format CIDR, par exemple 192.168.0.0/24.

  4. Dans la zone déroulante Doublons (capteurs), sélectionnez les capteurs associés à la plage d'adresses IP dupliquée.

  5. Cliquez sur Suivant.

    Le panneau Confirmation apparaît.

  6. (Facultatif) Cochez la case Supprimer les assets.

    Conseil : pour séparer tous les assets sélectionnés en leurs propres réseaux, Tenable vous recommande d'autoriser OT Security à supprimer les assets et à les redécouvrir après le démarrage. Si vous ne cochez pas la case Supprimer les assets, les assets resteront dans la plage d'adresses IP actuelle, ce qui pourrait provoquer des incohérences ou un comportement inattendu.

  7. Cliquez sur Enregistrer.

    OT Security enregistre la plage d'adresses IP dupliquée qui apparaît alors dans le tableau « Réseaux internes dupliqués ».

    Important : une fois la configuration des réseaux dupliqués terminée, Tenable vous recommande de redémarrer OT Security avant d'activer les capteurs.
  8. Redémarrez OT Security.

  9. Pour activer les capteurs, accédez à Paramètres locaux > Capteurs :

    Remarque : les plages d'adresses IP (CIDR) pour la requête active sont celles que vous avez configurées dans les paramètres des réseaux internes dupliqués.
    1. Effectuez l'une des actions suivantes :

      • Pour un seul capteur : effectuez un clic droit sur le capteur et cliquez sur Modifier. Dans le panneau Modifier le capteur, cliquez sur le curseur Requêtes actives du capteur pour activer les requêtes actives.
      • Pour plusieurs capteurs : sélectionnez tous les capteurs requis. Dans l'en-tête, sélectionnez Actions en bloc > Activer les requêtes actives.

    2. Effectuez un clic droit sur les capteurs et activez-les en faisant passer l'état de En pause à Connecté.

Étapes suivantes

Après avoir configuré les réseaux dupliqués et redémarré OT Security, les assets apparaissent avec leurs adresses IP réelles dans le tableau Tous les assets. De plus, lorsque vous saisissez une adresse IP attribuée à un réseau dupliqué, vous devez sélectionner le capteur correspondant. Par exemple : dans Requête active > Découverte/Scan Nessus > Créer un scan ou dans Informations d'authentification > Tester les informations d'authentification :

  • Dans Inventaire > Tous les assets, affichez les adresses IP réelles et la source des assets dans le tableau « Tous les assets ». Il pourra s'agir, par exemple, de deux assets qui partagent la même adresse IP mais sont associés à des capteurs différents.

  • Dans Requêtes actives > Gestion des requêtes > Découverte ou Scans Nessus > Créer un scan, lors de la configuration d'une requête active impliquant des réseaux dupliqués, sélectionnez les capteurs concernés pour cette plage d'adresses IP. Cela vous permet d'exécuter la requête pour les assets associés à un capteur spécifique tout en excluant les autres capteurs.

    Remarque : OT Security active la case Capteurs concernés uniquement pour les plages d'adresses IP dans les réseaux dupliqués. Elle reste désactivée pour toutes les autres plages d'adresses IP.
  • Dans Requêtes actives > Informations d'authentification > Tester les informations d'authentification, lors de la configuration des informations d'authentification, si vous saisissez une plage d'adresses IP dans un réseau dupliqué, vous devez également sélectionner les capteurs associés dans la zone Doublon (capteur).

  • Pour créer des groupes d'assets pour les assets faisant partie de réseaux dupliqués, utilisez l'option Sélection d'assets et identifiez l'adresse IP spécifique en fonction de la colonne Source du tableau « Assets ».

Actions sur les réseaux internes dupliqués

Ajouter des assets manuellement

Pour suivre votre inventaire, vous souhaiterez peut-être afficher d'autres assets que vous possédez, même s'ils n'ont pas encore été détectés par OT Security. Vous pouvez ajouter manuellement ces assets à votre inventaire en téléchargeant et en modifiant un fichier CSV, puis en chargeant le fichier sur le système. Vous ne pouvez charger que les assets dont l'adresse IP n'est pas déjà utilisée par un asset existant dans le système. Si le système détecte un asset qui communique sur le réseau avec la même adresse IP, il utilise les informations récupérées sur l'asset détecté et écrase les informations précédemment chargées. Le système commence à voir l'asset comme un élément normal lorsqu'il détectera ses communications sur le réseau.

Les adresses IP des assets chargés sont comptabilisées dans la licence du système.

Les assets chargés affichent un score de risque de 0 jusqu'à ce que OT Security les détecte.

Remarque : lorsque des assets sont ajoutés manuellement, aucun événement n'est détecté pour ces assets jusqu'à ce que OT Security détecte leur communication sur le réseau.

Pour ajouter des assets manuellement :

  1. Sous Paramètres locaux, accédez à Configuration de l'environnement > Paramètres de l'asset.

    L'écran Paramètres de l'asset apparaît.

  2. Dans Ajouter des assets manuellement, cliquez sur le bouton Actions et dans le menu déroulant, sélectionnez Télécharger le modèle CSV.

    OT Security télécharge le modèle de document tot_Assets.

  3. Ouvrez le document modèle tot_Assets.

  4. Modifiez le modèle tot_Assets en suivant précisément les instructions trouvées dans le fichier, en ne laissant que les en-têtes de colonne (Nom, Type, etc.) et les valeurs que vous saisissez.

  5. Enregistrez le fichier modifié.

  6. Revenez à l'écran Paramètres des assets.

  7. Depuis le menu Actions, sélectionnez Charger un fichier CSV, accédez au fichier CSV souhaité et ouvrez-le pour le charger.

  8. Dans Ajouter des assets manuellement, cliquez sur Télécharger le rapport.

    Un fichier CSV avec un rapport apparaît, indiquant les réussites et les échecs dans la colonne Result (Résultat). Les détails des erreurs sont affichés dans la colonne Erreur.

Fichiers SCD

Le fichier SCD (Substation Configuration Description) contient tous les détails liés aux communications d'une sous-station. Vous pouvez désormais charger un fichier SCD sur OT Security et gagner en visibilité sur vos assets et la configuration CEI 61850, tout en bénéficiant d'informations sur la sécurité de votre environnement.

En fonction des informations contenues dans le fichier SCD, OT Security signale les détections liées à une mauvaise configuration de la sous-station, notamment :

  • Accès aux rapports MMS (Manufacturing Message Specification) par des clients non autorisés.

  • Tentative d'abonnement aux rapports MMS par des clients non autorisés non mentionnés dans le fichier SCD.

Remarque : OT Security ne prend en charge que les formats suivants pour les fichiers SCD :
  • Versions 1.0 et 2.0 de SCL (Substation Configuration Language).
  • Fichiers SCD avec une seule sous-station.

Pour charger un fichier SCD :

  1. Accédez à Paramètres locaux > Configuration de l'environnement > Paramètres de l'asset.

    La page Paramètres de l'asset apparaît.

  2. Dans la section Fichiers SCD, cliquez sur Charger.

    Remarque : vous ne pouvez charger qu'un seul fichier SCD par sous-station. Le dernier fichier chargé contenant le même nom de sous-station remplace le précédent.
  3. Recherchez et sélectionnez le fichier à charger.

    OT Security charge le fichier SCD. Vous pouvez afficher les détails de l'asset dans les onglets Inventaire > Détails et CEI 61850. Toute mauvaise configuration du fichier SCD déclenche un événement et un message d'erreur d'accès non autorisé apparaît en haut des pages Détails et CEI 61850.

  4. (Facultatif) Pour télécharger les détails des détections, dans le message d'erreur, cliquez sur Télécharger les détails.

    OT Security télécharge les détails au format CSV.

Récupérer une adresse IP pour les assets IoT

Par défaut, lors de l'importation d'assets à partir d'un connecteur IoT, OT Security importe l'adresse IP avec l'adresse MAC des appareils. Pour importer uniquement l'adresse MAC, désactivez l'option Récupérer une adresse IP pour les assets IoT. Pour plus d'informations, voir Connecteurs IoT.

Groupes d'événements

Pour faciliter le suivi des événements, plusieurs événements aux caractéristiques communes sont regroupés pour former un cluster. Le clustering est basé sur le type d'événement (c'est-à-dire, les événements qui ont une même politique en commun), les assets sources et cibles, etc.

Pour regrouper des événements dans un cluster, ils doivent être générés dans les intervalles de temps configurés suivants :

  • Temps maximal entre événements consécutifs – Définit l'intervalle de temps maximal entre les événements. Au-delà de ce délai, les événements consécutifs ne sont pas mis en cluster.

  • Temps maximum entre le premier et le dernier événement – Définit l'intervalle de temps maximal pour que tous les événements soient affichés dans un cluster. Un événement généré après cet intervalle de temps ne fait pas partie du cluster.

Pour activer le clustering :

  1. Accédez à Paramètres locaux, Configuration de l'environnement > Clusters d'événements.

    L'écran Clusters d'événements apparaît.

  2. Cliquez sur le curseur pour activer les catégories souhaitées pour le clustering.

  3. Pour configurer les intervalles de temps pour une catégorie, cliquez sur Modifier.

    La fenêtre Modifier la configuration apparaît.

  4. Saisissez la valeur numérique requise dans la zone numérique et l'unité de temps dans la zone déroulante.

    Remarque : pour plus d'informations sur le clustering et les intervalles de temps, cliquez sur l'icône .
  5. Cliquez sur Enregistrer.

Lecteur PCAP

OT Security permet de charger un fichier PCAP (capture de paquet) contenant l'activité réseau enregistrée et de le « lire » sur OT Security. Lorsque vous « lisez » un fichier PCAP, OT Security surveille le trafic réseau et enregistre toutes les informations sur les assets détectés, l'activité réseau et les vulnérabilités comme si le trafic se produisait au sein de votre réseau. Vous pouvez utiliser cette fonctionnalité à des fins de simulation ou pour analyser le trafic en dehors du réseau que OT Security surveille, des usines distantes, par exemple.

Remarque : le lecteur PCAP prend en charge ces types de fichiers : .pcap, .pcapng, .pcap.gz,.pcapng.gz. Vous pouvez utiliser des fichiers qui ont été enregistrés par une instance de OT Security ou d'autres outils de surveillance du réseau.

Charger un fichier PCAP

Pour charger un fichier PCAP :

  1. Accédez à Paramètres locaux > Configuration de l'environnement > Lecteur PCAP.

  2. Cliquez sur Charger le fichier PCAP.

    L'explorateur de fichiers apparaît.

  3. Sélectionnez l'enregistrement PCAP souhaité.

  4. Cliquez sur Ouvrir.

    OT Security charge le fichier PCAP sur le système.

Lire un fichier PCAP

Pour lire un fichier PCPAP :

  1. Accédez à Paramètres locaux > Configuration de l'environnement > Lecteur PCAP.

  2. Sélectionnez l'enregistrement PCAP à lire.

  3. Cliquez sur Actions > Lire.

    L'assistant Lire le PCAP apparaît.

  4. Dans la zone déroulante Vitesse de lecture, sélectionnez la vitesse de lecture du fichier par le système.

    Les options sont : 1X, 2X, 4X, 8X ou 16X.

    Remarque : la lecture d'un fichier PCAP injecte des données dans le système. Cette opération est irréversible ou ne peut pas être arrêtée une fois lancée.
  5. Cliquez sur Lire.

    Le système lit le fichier PCAP. Toute l'activité du réseau dans le fichier PCAP est enregistrée dans le système et les assets identifiés par le système sont ajoutés à l'inventaire des assets.

    Remarque : vous ne pouvez pas lire un autre fichier PCAP pendant qu'un fichier est en cours de lecture.