Konfigurieren Sie die Eigenschaften Service Graph Connector Integration for Claroty CTD

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 12 Minuten Lesedauer

    • Verwenden Sie das Guided Setup für Service Graph Connector Integration for Claroty CTD, um durch die Integrationsschritte zu führen.

    Vorbereitungen

    Abhängigkeiten und Anforderungen:
    • Die Store-App Integration Commons for CMDB, die automatisch installiert wird.
    • Das CMDB CI Class Models store app, das automatisch installiert wird.
    • Das Plugin „ITOM Discovery License“ (com.snc.itom.discovery.license). Sie müssen dieses Plugin aktivieren.
    • Plugin „ITOM Licensing“ (com.snc.itom.license). Weitere Informationen finden Sie unter Discovery anfordern.
    • Das Plugin „Datastream Action“ (com.glide.hub.action_type.datastream), das automatisch installiert wird.

    Erforderliche Rolle: admin

    Hinweis:
    Wenn Sie eine frühere Version von Service Graph Connector Integration for Claroty CTDhaben, migrieren Sie keine Daten aus dem alten Connector. Sie müssen die vorherige Version deinstallieren und die neue Integration ausführen.

    Prozedur

    1. Stellen Sie mithilfe der Anwendungsauswahl sicher, dass die Anwendung auf Service Graph Connector Integration for Claroty CTD festgelegt ist.
      Weitere Informationen finden Sie unter Application picker.
    2. Navigieren zu Alle > Service Graph Connector – Claroty CTD > Geführtes Setup.
    3. Wählen Sie auf der Seite „Erste Schritte“ die Option Erste Schritteaus.
    4. Führen Sie die folgenden Schritte aus, um einen MID-Serverzu konfigurieren:
      1. Wählen Sie im Abschnitt „Verbindungen und Anmeldeinformationen einrichten“ die Aufgabe „MID Server konfigurieren“ aus.
      2. Wählen Sie Als abgeschlossen markieren aus, sobald Sie die Konfiguration MID-Server abgeschlossen haben.
    5. Führen Sie die folgenden Schritte aus, um die Verbindungsdatensätze einzurichten:
      1. Wählen Sie im Abschnitt „Verbindungen und Anmeldeinformationen einrichten“ die Aufgabe „Verbindungen konfigurieren“ aus.
      2. Wählen Sie Konfigurieren aus.
      3. Öffnen Sie den Claroty CTD-API-Datensatz in der Tabelle „Verbindungen“.
      4. Geben Sie im Feld Verbindungs-URL den Namen der URL für Ihre Claroty CTD Enterprise Management Console (EMC) ein.
        Beispiel: https://192.168.1.100
      5. Wenn Sie einen MID-Serververwenden, aktivieren Sie das Kontrollkästchen MID Server verwenden im Datensatz.
        Hinweis:
        Wenn Sie kein MID-Serververwenden, fahren Sie mit Schritt 5g fort.
      6. Wählen Sie in der zugehörigen Liste Erweiterte MID-Server -Konfiguration eine MID-Server und eine MID-Auswahl aus.
      7. Wählen Sie Aktualisieren.
      8. Wiederholen Sie die Schritte 5a bis 5h, um den Claroty CTD EMC-Basisauthentifizierungsdatensatz zu aktualisieren.
    6. Führen Sie die folgenden Schritte aus, um die Anmeldeinformationsdatensätze einzurichten:
      1. Wählen Sie im Abschnitt „Verbindungen und Anmeldeinformationen einrichten“ die Aufgabe „Anmeldeinformationen konfigurieren“ aus.
      2. Wählen Sie Konfigurieren aus.
      3. Öffnen Sie den Claroty CTD EMC-Basisauthentifizierungsdatensatz in der Tabelle „Anmeldeinformationen“.
      4. Geben Sie im Feld Benutzername den Benutzernamen ein, mit dem Sie sich bei der Claroty CTD EMC angemeldet haben.
      5. Geben Sie im Feld Passwort das Passwort ein, mit dem Sie sich bei der Claroty CTD EMC angemeldet haben.
      6. Wählen Sie Aktualisieren.
    7. Führen Sie die folgenden Schritte aus, um die Verbindung zu testen:
      1. Wählen Sie im Abschnitt „Verbindungen und Anmeldeinformationen einrichten“ die Aufgabe Verbindung testen/validieren aus.
      2. Wählen Sie im Abschnitt „Zugehörige Links“ im Datenquellendatensatz für Sensoren die UI-Aktion Verbindung testen aus.
        Zeigen Sie nach Abschluss des Verbindungstests die Ergebnisse an. Sie müssen die vorgeschlagenen Fehlerbehebungsschritte ausführen, bis das Testergebnis Successzurückgibt.
      3. Überprüfen Sie, ob der Verbindungsmanager über ein gültiges Zertifikat verfügt.

        Für eine Produktionsumgebung muss ein gültiges Zertifikat installiert sein. Für eine Nicht-Produktionsinstanz oder eine POC-Instanz (Proof of Concept) können Sie die Systemeigenschaften so konfigurieren, dass die Integration funktioniert, wenn der Verbindungsmanager kein gültiges Zertifikat hat. In der folgenden Tabelle sind die Systemeigenschaften aufgelistet, die Sie für eine Nicht-Produktionsumgebung konfigurieren können.

        Tabelle : 1. Systemeigenschaften für eine Nicht-Produktionsumgebung
        Eigenschaft Wert
        com.glide.communications.httpclient.verify_hostname Auf „ false“ festgelegt.
        com.glide.communications.httpclient.verify_revoked_certificate Auf „ false“ festgelegt.

        Wenn Sie diese Systemeigenschaft hinzufügen müssen, finden Sie weitere Informationen unter Systemeigenschaftenhinzufügen.
        com.glide.communications.trustmanager_trust_all Auf true festlegen.
      4. Überprüfen Sie die MID-Sicherheitsrichtlinie.
        Überprüfen Sie im Intranet-Datensatz, ob die Spalten in der folgenden Tabelle die angegebenen Werte anzeigen.
        Tabelle : 2. Intranet-Datensatzwerte
        Spalte Wert
        Zertifikatskettenprüfung false
        Überprüfung des Hostnamens false
        Widerrufsprüfung false

        Weitere Informationen finden Sie unter Richtlinien für MID Server-Zertifikatprüfungen.

    8. Gehen Sie wie folgt vor, um die Systemeigenschaften festzulegen, mit denen die API-Ressourcenpfade, Paginierungsgrößen und API-Schlüssel-Ablaufzeiten konfiguriert werden:
      1. Wählen Sie im Abschnitt Systemeigenschaften konfigurierendie Option Konfigurieren aus.
      2. Konfigurieren Sie die Systemeigenschaften in der folgenden Tabelle:
        Eigenschaft Beschreibung
        sn_clarotyctdsgc.resourcepath.site

        Eigenschaft zum Festlegen des Ressourcenpfads für die Sites:

        Hinweis:
        Der Ressourcenpfad für die Sites wird standardmäßig für die API-Version Claroty CTD Enterprise Management Console (EMC) V4.4.3 für die CTD-Sites und -Geräte bereitgestellt.

        Wenn Sie eine andere API-Version verwenden möchten, können Sie die Pfade überschreiben.
        sn_clarotyctdsgc.resourcepath.device

        Eigenschaft zum Festlegen des Ressourcenpfads für die Geräte:

        Hinweis:
        Der Ressourcenpfad für die Geräte wird standardmäßig für die API-Version CTD EMC V4.4.3 für die CTD-Sites und -Geräte bereitgestellt.

        Wenn Sie eine andere API-Version verwenden möchten, können Sie die Pfade überschreiben.
        sn_clarotyctdsgc.pagesize.device

        Eigenschaft zum Festlegen der Anzahl der Gerätedatensätze, die in einem paginierten REST-Aufruf an die Claroty CTD EMC abgerufen werden sollen. Der Standardwert beträgt 500 Datensätze pro Seite.

        Hinweis:
        500 ist die maximale Anzahl von Geräten pro Seite.
        sn_clarotyctdsgc.resourcepath.baseline

        Eigenschaft zum Festlegen des Ressourcenpfads für die Baselines:

        Hinweis:
        Der Ressourcenpfad für die Baselines wird standardmäßig für die API-Version CTD EMC V4.4.3 für die CTD-Sites und -Geräte bereitgestellt.

        Wenn Sie eine andere API-Version verwenden möchten, können Sie die Pfade überschreiben.
        sn_clarotyctdsgc.pagesize.baseline

        Eigenschaft zum Festlegen der Anzahl der Baseline-Datensätze, die in einem paginierten REST-Aufruf an die Claroty CTD EMC abgerufen werden sollen. Der Standardwert beträgt 500 Datensätze pro Seite.
        sn_clarotyctdsgc.get_all_baselines

        Eigenschaft zum Abrufen aller Datensätze für Baselines oder nur der neuen Datensätze seit der Startzeit des letzten erfolgreichen Imports.

        Hinweis:
        Wenn Sie Baselines zum ersten Mal importieren, werden alle Datensätze unabhängig von der Einstellung für diese Eigenschaft importiert.
        sn_clarotyctdsgc.resourcepath.entity

        Eigenschaft zum Festlegen des Ressourcenpfads für die Entitäten:

        Hinweis:
        Der Ressourcenpfad für die Entitäten wird standardmäßig für die API-Version CTD EMC V4.4.3 für die CTD-Sites und -Geräte bereitgestellt. Wenn Sie eine andere API-Version verwenden möchten, können Sie die Pfade überschreiben.
        sn_clarotyctdsgc.resourcepath.program

        Eigenschaft zum Festlegen des Ressourcenpfads für die installierten Programme:

        Hinweis:
        Der Ressourcenpfad für die installierten Programme wird standardmäßig für die API-Version CTD EMC V4.4.3 für die CTD-Sites und -Geräte bereitgestellt.

        Wenn Sie eine andere API-Version verwenden möchten, können Sie die Pfade überschreiben.
        sn_clarotyctdsgc.pagesize.entity

        Eigenschaft zum Festlegen der Anzahl der Entitätsdatensätze, die in einem paginierten REST-Aufruf an die Claroty CTD EMC abgerufen werden sollen. Der Standardwert beträgt 500 Datensätze pro Seite.
        sn_clarotyctdsgc.pagesize.program

        Eigenschaft zum Festlegen der Anzahl der Programmdatensätze, die in einem paginierten REST-Aufruf an die Claroty CTD EMC abgerufen werden sollen. Der Standardwert beträgt 500 Datensätze pro Seite.
        sn_clarotyctdsgc.api_token_life_in_minutes

        Eigenschaft zum Festlegen der Anzahl der Minuten, nach denen die API als aktiv gilt. Nach Ablauf der Zeit ruft der Service Graph Connector beim nächsten Import einen neuen API-Schlüssel ab. Der Standardwert ist 0, und für jeden REST-Aufruf wird ein neues Token abgerufen.

        Hinweis:
        Sie können den Wert ändern, um dasselbe Token maximal 24 Stunden lang beizubehalten und die Anzahl der REST-Aufrufe zu reduzieren.
        sn_clarotyctdsgc.classify_based_on_os Eigenschaft, um eine Liste von Klassen bereitzustellen, die die Klassifizierung nach Betriebssystem als Teil von Service Graph Connector Integration for Claroty CTDunterstützen.
        Wenn die Kennzeichnung auf Truefestgelegt ist, wird die Klassifizierung nach Betriebssystem unterstützt. Wenn dies auf Falsefestgelegt ist, klassifiziert der Service Graph Connector nicht mehr nach Betriebssystem. Beispiel: 
        { "cmdb_ci_ip_switch":true, 
"cmdb_ci_nids":false }
        sn_clarotyctdsgc.filter.asset_type_code Eigenschaft, um eine Liste von Codes für Gerätetypen bereitzustellen, getrennt durch das Trennzeichen ($).

        Weitere Informationen zu Claroty-Typen und -Codes finden Sie unter Angestrebte CMDB-Klassen. Um beispielsweise nur SPS- und HMI-Gerätetypen zu importieren, geben Sie den Claroty-Typcode als 0$1ein.
        sn_clarotyctdsgc.filter.asset_purdue_level Eigenschaft, um eine Liste von Purdue-Ebenen bereitzustellen, die durch das Trennzeichen ($) getrennt sind. Um beispielsweise nur Geräte mit den Purdue-Ebenen 1 und 2 zu filtern, legen Sie den Wert auf 1.0$2.0fest, um nur Geräte mit den Purdue-Ebenen 1 und 2 zu filtern.
      3. Wählen Sie Speichern.
    9. Führen Sie die folgenden Schritte aus, um CTD-Sites zu importieren:
      1. Wählen Sie im Abschnitt CTD-Sites konfigurieren die Aufgabe CTD-Sites importieren aus.
      2. Wählen Sie Konfigurieren aus.
      3. Klicken Sie auf die Schaltfläche Jetzt ausführen.
    10. Führen Sie die folgenden Schritte aus, um Netzwerkangriffserkennungssysteme (NIDS) zu konfigurieren:
      1. Wählen Sie im Abschnitt CTD-Sites konfigurieren die Aufgabe Konfigurieren NIDS aus.
      2. Wählen Sie Als abgeschlossen markieren aus, sobald Sie die NIDS eingerichtet haben, die zum Abrufen von Geräten aus Claroty CTD verwendet werden.
    11. Gehen Sie wie folgt vor, um die Importzeitpläne für die Ausführung der Sites, Geräte, Baselines und installierten Programme zu konfigurieren:
      1. Wählen Sie im Abschnitt „Importzeitpläne konfigurieren“ die Aufgabe „Importzeitplan für Sites konfigurieren“ aus.
      2. Wählen Sie Konfigurieren aus.
      3. Wählen Sie in der Tabelle „Geplante Datenimporte“ die Option SG-OT CTD Sites Geplanter Importaus.
        • Standardmäßig ist der Importzeitplan für Sites so konfiguriert, dass er jeden Tag um Mitternacht ausgeführt wird.
        • Sie müssen die CTD-Sites importieren und validieren, bevor Sie die Geräte importieren.
      4. Führen Sie die folgenden Aktionen aus, um den Importzeitplan nach Bedarf zu überprüfen oder zu ändern:
        Aktion Beschreibung
        Geben Sie ein bedingtes Skript ein Geben Sie ein bedingtes Skript ein, das bestimmt, ob ein geplanter Import ausgeführt werden soll, indem Sie Bedingtauswählen.
        Ändern Sie den standardmäßigen Importzeitplan Ändern Sie den standardmäßigen Importzeitplan, indem Sie das Feld Ausführen nach Bedarf festlegen.
        Verweisen Sie auf einen Benutzer in der Benutzertabelle

        Verweisen Sie auf einen Benutzer in der Benutzertabelle, indem Sie im Feld Wird ausgeführt als einen Benutzer auswählen.

        Hinweis:
        Standardmäßig ist dieses Feld auf Systemadministrator festgelegt. Dem ausgewählten Benutzer muss die Administratorrolle zugewiesen werden, damit der Import erfolgreich ist. Wenn das Feld leer gelassen wird, verwendet der Importzeitplan die Rollen des angemeldeten Benutzers.
        Import ausführen Führen Sie einen Import aus, indem Sie Jetzt ausführen auswählen. Sie können basierend auf den konfigurierten Systemeigenschaften entweder alle Datensätze oder nur neue Datensätze seit der Startzeit des letzten erfolgreichen Imports importieren. Weitere Informationen finden Sie unter Konfigurieren Sie das Guided Setup.
        Aktivieren Sie den Import Aktivieren Sie den Import, indem Sie das Kontrollkästchen Aktiv aktivieren.
        Speichern Sie alle Zeitplanänderungen Speichern Sie alle Zeitplanänderungen, indem Sie Aktualisierenauswählen.
      5. Wählen Sie im Abschnitt „Importzeitpläne konfigurieren“ die Aufgabe „Importzeitplan für Geräte konfigurieren“ aus.
      6. Wählen Sie Konfigurieren aus.
      7. Wählen Sie in der Tabelle „Geplante Datenimporte“ die Option SG-OT CTD – Geplanter Import von Geräten aus, um den Importzeitplan für Ihre Geräte zu überprüfen oder zu ändern.
        • Standardmäßig ist der Importzeitplan für Geräte so konfiguriert, dass er jeden Tag um Mitternacht ausgeführt wird.
        • Geräte werden von der CTD-Site abgefragt. Der Service Graph Connector fragt nur Geräte ab, die von validierten CTD-Sites erkannt werden.
      8. Führen Sie die folgenden Aktionen aus, um den Importzeitplan nach Bedarf zu überprüfen oder zu ändern:
        Aktion Beschreibung
        Geben Sie ein bedingtes Skript ein Geben Sie ein bedingtes Skript ein, das bestimmt, ob ein geplanter Import ausgeführt werden soll, indem Sie Bedingtauswählen.
        Ändern Sie den standardmäßigen Importzeitplan Ändern Sie den standardmäßigen Importzeitplan, indem Sie das Feld Ausführen nach Bedarf festlegen.
        Verweisen Sie auf einen Benutzer in der Benutzertabelle

        Verweisen Sie auf einen Benutzer in der Benutzertabelle, indem Sie im Feld Wird ausgeführt als einen Benutzer auswählen.

        Hinweis:
        Standardmäßig ist dieses Feld auf Systemadministrator festgelegt. Dem ausgewählten Benutzer muss die Administratorrolle zugewiesen werden, damit der Import erfolgreich ist. Wenn das Feld leer gelassen wird, verwendet der Importzeitplan die Rollen des angemeldeten Benutzers.
        Import ausführen Führen Sie einen Import aus, indem Sie Jetzt ausführen auswählen. Sie können basierend auf den konfigurierten Systemeigenschaften entweder alle Datensätze oder nur neue Datensätze seit der Startzeit des letzten erfolgreichen Imports importieren. Weitere Informationen finden Sie unter Konfigurieren Sie das Guided Setup.
        Aktivieren Sie den Import Aktivieren Sie den Import, indem Sie das Kontrollkästchen Aktiv aktivieren.
        Speichern Sie alle Zeitplanänderungen Speichern Sie alle Zeitplanänderungen, indem Sie Aktualisierenauswählen.
      9. Wählen Sie im Abschnitt „Importzeitpläne konfigurieren“ die Aufgabe „Importzeitplan für Baselines konfigurieren“ aus.
      10. Wählen Sie Konfigurieren aus.
      11. Wählen Sie in der Tabelle „Geplante Datenimporte“ SG-OT CTD-Baselines – Geplanter Import aus, um den Importzeitplan für die Baselines zu überprüfen oder zu ändern.
        Standardmäßig ist der Importzeitplan für Baselines so konfiguriert, dass er nach der Ausführung des übergeordneten OT-Steuerungssystems ausgeführt wird.
      12. Führen Sie die folgenden Aktionen aus, um den Importzeitplan nach Bedarf zu überprüfen oder zu ändern.
        Aktion Beschreibung
        Geben Sie ein bedingtes Skript ein Geben Sie ein bedingtes Skript ein, das bestimmt, ob ein geplanter Import ausgeführt werden soll, indem Sie Bedingtauswählen.
        Ändern Sie den standardmäßigen Importzeitplan Ändern Sie den standardmäßigen Importzeitplan, indem Sie das Feld Ausführen nach Bedarf festlegen.
        Verweisen Sie auf einen Benutzer in der Benutzertabelle

        Verweisen Sie auf einen Benutzer in der Benutzertabelle, indem Sie im Feld Wird ausgeführt als einen Benutzer auswählen.

        Hinweis:
        Standardmäßig ist dieses Feld auf Systemadministrator festgelegt. Dem ausgewählten Benutzer muss die Administratorrolle zugewiesen werden, damit der Import erfolgreich ist. Wenn das Feld leer gelassen wird, verwendet der Importzeitplan die Rollen des angemeldeten Benutzers.
        Import ausführen Führen Sie einen Import aus, indem Sie Jetzt ausführen auswählen. Sie können basierend auf den konfigurierten Systemeigenschaften entweder alle Datensätze oder nur neue Datensätze seit der Startzeit des letzten erfolgreichen Imports importieren. Weitere Informationen finden Sie unter Konfigurieren Sie das Guided Setup.
        Aktivieren Sie den Import Aktivieren Sie den Import, indem Sie das Kontrollkästchen Aktiv aktivieren.
        Speichern Sie alle Zeitplanänderungen Speichern Sie alle Zeitplanänderungen, indem Sie Aktualisierenauswählen.
      13. Wählen Sie im Abschnitt „Importzeitpläne konfigurieren“ die Aufgabe „Importzeitplan für installierte Programme für Sites konfigurieren“ aus.
      14. Wählen Sie Konfigurieren aus.
      15. Wählen Sie in der Tabelle „Geplante Datenimporte“ SG-OT CTD – Geplanter Import installierter Programme aus, um den Zeitplan für den Import installierter Programme zu überprüfen oder zu ändern.
        Standardmäßig ist der Importzeitplan für installierte Programme so konfiguriert, dass er jeden Tag um Mitternacht ausgeführt wird.
      16. Führen Sie die folgenden Aktionen aus, um den Importzeitplan nach Bedarf zu überprüfen oder zu ändern.
        Aktion Beschreibung
        Geben Sie ein bedingtes Skript ein Ändern Sie den standardmäßigen Importzeitplan, indem Sie das Feld Ausführen nach Bedarf festlegen.
        Ändern Sie den standardmäßigen Importzeitplan Ändern Sie den standardmäßigen Importzeitplan, indem Sie das Feld Ausführen nach Bedarf festlegen.
        Verweisen Sie auf einen Benutzer in der Benutzertabelle

        Verweisen Sie auf einen Benutzer in der Benutzertabelle, indem Sie im Feld Wird ausgeführt als einen Benutzer auswählen.

        Hinweis:
        Standardmäßig ist dieses Feld auf Systemadministrator festgelegt. Dem ausgewählten Benutzer muss die Administratorrolle zugewiesen werden, damit der Import erfolgreich ist. Wenn das Feld leer gelassen wird, verwendet der Importzeitplan die Rollen des angemeldeten Benutzers.
        Import ausführen Führen Sie einen Import aus, indem Sie Jetzt ausführen auswählen. Sie können basierend auf den konfigurierten Systemeigenschaften entweder alle Datensätze oder nur neue Datensätze seit der Startzeit des letzten erfolgreichen Imports importieren. Weitere Informationen finden Sie in Schritt 7c.
        Aktivieren Sie den Import Aktivieren Sie den Import, indem Sie das Kontrollkästchen Aktiv aktivieren.
        Speichern Sie alle Zeitplanänderungen Speichern Sie alle Zeitplanänderungen, indem Sie Aktualisierenauswählen.
    12. Wahlweise: Führen Sie die folgenden Schritte aus, um Probleme mit Service Graph Connector Integration for Claroty CTDzu beheben:
      1. Wählen Sie den Abschnitt [OPTIONAL] Troubleshooting the Service Graph Connector for Claroty CTD (Troubleshooting the Service Graph Connector for Claroty CTD) aus.
      2. Wählen Sie in der Aufgabe „Validierungen ausführen“ die Option Konfigurierenaus.
      3. Wählen Sie Jetzt ausführen.
        Dieser Job führt Aufgaben aus, um die Konfigurationen für SGC und die Verbindung zu Claroty CTD zu validieren. Wenn Konfigurationsprobleme gefunden werden, melden die Validierungsergebnisse das Problem und schlagen Schritte zur Fehlerbehebung vor. Warten Sie, bis die geplante Aufgabe abgeschlossen ist.
      4. Navigieren Sie nach Abschluss der geplanten Aufgabe zurück zum Abschnitt [OPTIONAL] Troubleshooting the Service Graph Connector for Claroty CTD.
      5. Wählen Sie in der Aufgabe Validierungsergebnisse überprüfen die Option Konfigurierenaus.
        Dieser Schritt öffnet die Ausführungsprotokolle und Vorschläge der letzten Problembehandlung, die Sie anzeigen können.
      6. Behandeln Sie die Vorschläge nach Bedarf.
        Hinweis:
        Sie können das geplante Skript jederzeit nach der Erstkonfiguration von Service Graph Connector Integration for Claroty CTDverwenden. Um Validierungen auszulösen, navigieren Sie zu Alle > Service Graph Connector für Claroty CTD > Problembehandlung > Führen Sie die Problembehandlung aus. Um die Validierungsergebnisse anzuzeigen, navigieren Sie zu Alle > Service Graph Connector für Claroty CTD > Problembehandlung > Ergebnisse.

        Weitere Informationen zur Behebung von Problemen bei der Verwendung von Service Graph Connector Integration for Claroty CTDfinden Sie unter Problembehandlungsszenarien für die Service Graph Connector-Integration für Claroty CTD (KB1502041).