Anschlussprobes

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Port-Probes werden in verwendet DiscoveryDurch die Shazzam-Probe, um Protokollaktivitäten an offenen Ports auf Geräten zu erkennen, auf denen sie zugreifen.

    Wenn eine Port-Probe auf ein verwendetes Protokoll trifft, überprüft der Shazzam-Sensor den Port-Probe-Datensatz, um zu bestimmen, welche Klassifizierungsprobe gestartet werden soll. Die allgemeinen Protokolle WMI, SSH, SNMP und HTTP im Basissystem haben Prioritätsnummern, die die Reihenfolge steuern, in der sie gestartet werden.

    Die Priorität lautet wie folgt:

    • 1: WMI
    • 2: SSH
    • 3: SNMP
    • 4: HTTP

    Im Basissystem wird die WMI-Probe immer zuerst gestartet, und wenn sie auf einem Gerät erfolgreich ist, werden keine anderen Port-Probes für dieses Gerät gestartet. Wenn die WMI-Probe nicht erfolgreich ist, wird die SSH-Probe gestartet, um Informationen zum Gerät zu sammeln. Wenn dies nicht erfolgreich ist, wird die SNMP-Probe gestartet. Diese Methode ermöglicht DiscoveryDient zum korrekten Klassifizieren eines Geräts, wenn auf dem Gerät mehr als ein Protokoll ausgeführt wird (z. B. SSH, SNMP und HTTP).

    Discovery Port-Probe-Formular

    Um auf das Port-Probe-Formular zuzugreifen, navigieren Sie zu Discovery-Definition > Anschlussprobesan.

    Um einer Port-Probe mehrere Klassifizierungsprobes hinzuzufügen, erstellen Sie eine Verknüpfung zwischen der Port-Probe und der tatsächlichen Klassifizierungsprobe selbst. Weitere Auslöser-Probes finden Sie unten im Formular. Wenn eine Klassifizierung fehlschlägt, wirkt sich dies nicht auf die anderen aus DiscoveryDie Leistung kann verbessert werden.
    Discovery-Port-Probe-Formular
    Das Port-Probe-Formular enthält die folgenden Felder:
    Tabelle : 1. Anschlussprobes
    Feld Eingabewert
    Name Einfacher Name für die Port-Probe, der ihre Funktion widerspiegelt (z. B. SNMP).
    Beschreibung Definition des Akronyms für das Protokoll. (SSH ist beispielsweise sichere Shell-Anmeldung).
    Scanner Shazzam-Techniken zum Erkunden eines Ports. Einige sind protokollspezifisch, andere sind generisch. Beispielsweise verwendet eine WMI-Port-Probe einen Scannerwert von generischem TCP, und die SNMP-Port-Probe verwendet einen Wert von SNMP.
    Aktiv Gibt an, ob diese Port-Probe aktiviert oder deaktiviert ist.
    CIs Gibt an, ob diese Port-Probe für die Erkennung von Konfigurationselementen aktiviert oder deaktiviert ist.
    IPs Gibt an, ob diese Port-Probe für die Erkennung von IP-Adressen aktiviert oder deaktiviert ist.
    Durch Services ausgelöst Gibt an, welche Services die Portnutzung definieren. Verwenden Sie diese Einstellung, um eine nicht standardmäßige Portnutzung zu definieren und die Portnummer mit dem Protokoll zu koppeln.
    Klassifizierung verwenden Benennt die entsprechende Klassifizierungstabelle basierend auf dem zu untersuchenden Protokoll.
    Klassifizierungspriorität

    Legt die Priorität fest, in der diese Port-Probe ausgeführt wird. Wenn die Probe des ersten Anschlusses fehlschlägt, wird die nächste Probe auf dem Gerät usw. ausgeführt, bis die richtigen Daten zurückgegeben werden. Dies ermöglicht die richtige Klassifizierung eines Geräts mit zwei laufenden Protokollen, z. B. SSH und SNMP. Die Standardprioritäten für DiscoveryProtokolle sind:

    • 1: WMI
    • 2: SSH
    • 3: SNMP
    • 4: HTTP
    Ergänzend Startet zusätzliche Klassifizierungen, nachdem eine Identifizierung mit höherer Priorität erfolgreich war, in der Reihenfolge der Priorität.
    Bedingt

    Führt diese Port-Probe aus, wenn eine der nicht bedingten Probes einen offenen Port zurückgibt. Die bedingten Port-Probes im Basissystem versuchen, die Namen von aufzulösen WindowsGeräte- und DNS-Namen. Diese Port-Probes benötigen zusätzliche Ressourcen und werden nicht verwendet, es sei denn, Aktivität wird an offenen Ports erkannt.
    Skript Auszuführendes Skript.