Sondes de ports

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Les sondes de ports sont utilisées dans Détection par la sonde Shazzam pour détecter l'activité de protocole sur les ports ouverts sur les appareils qu'elle rencontre.

    Lorsqu'une sonde de port rencontre un protocole en cours d'utilisation, le capteur Shazzam vérifie l'enregistrement de sonde de port pour déterminer la sonde de classification à lancer. Les protocoles communs WMI, SSH, SNMP et HTTP dans le système de base disposent de numéros de priorité qui contrôlent l'ordre dans lequel ils sont lancés.

    La priorité est la suivante :

    • 1 - WMI
    • 2 - SSH
    • 3 - SNMP
    • 4 - HTTP

    Dans le système de base, la sonde WMI est toujours lancée en premier ; si elle aboutit sur un appareil, aucune autre sonde de port n'est lancée pour cet appareil. Si la sonde WMI n'aboutit pas, la sonde SSH est lancée pour recueillir des informations sur l'appareil. Si elle n'aboutit pas, la sonde SNMP est lancée. Cette méthode permet à Détection de classer correctement un appareil si celui-ci exécute plusieurs protocoles (par exemple, SSH, SNMP et HTTP).

    Formulaire Sonde de port de Détection

    Pour accéder au formulaire Sonde de port, accédez à Définition de Détection > Sondes de ports.

    Pour ajouter plusieurs sondes de classification à une sonde de port, créez un lien entre la sonde de port et la sonde de classification active proprement dite. Consultez le bas du formulaire pour ajouter des sondes de déclencheur supplémentaires. De cette façon, l'échec d'une classification n'a pas d'incidence sur les autres classifications afin d'améliorer les performances de Détection.
    Formulaire Sonde de port de détection
    Le formulaire Sonde de port contient les champs suivants :
    Tableau 1. Sondes de ports
    Champ Valeur d'entrée
    Nom Nom simple de la sonde de port, qui indique sa fonction (par exemple, SNMP).
    Description Définition de l'acronyme du protocole. (Par exemple, SSH signifie connexion Secure Shell).
    Analyseur Techniques Shazzam pour explorer un port. Certaines de ces techniques sont propres au protocole, d'autres sont génériques. Par exemple, une sonde de port WMI utilise la valeur d'analyseur TCP générique et la sonde de port SNMP utilise la valeur SNMP.
    Actif Indique si cette sonde de port est activée ou désactivée.
    CI Indique si cette sonde de port est activée ou désactivée pour la détection d'éléments de configuration.
    Adresses IP Indique si cette sonde de port est activée ou désactivée pour la détection d'adresses IP.
    Déclenché par les services Indique quels services définissent l'utilisation du port. Utilisez ce paramètre pour définir l'utilisation de port non standard et associez le numéro de port au protocole.
    Classification d'usage Nomme la table de classification appropriée, en fonction du protocole exploré.
    Priorité de classification

    Établit la priorité d'exécution de cette sonde de port. Si la première sonde de port échoue, la sonde suivante s'exécute sur l'appareil, et ainsi de suite, jusqu'à ce que les données correctes soient renvoyées. Cela permet la classification appropriée d'un appareil qui exécute deux protocoles, tels que SSH et SNMP. Les priorités par défaut pour les protocoles Détection sont les suivantes :

    • 1 - WMI
    • 2 - SSH
    • 3 - SNMP
    • 4 - HTTP
    Supplémentaire Lance des classifications supplémentaires après l'aboutissement d'une identification de priorité supérieure, par ordre de priorité.
    Conditionnel

    Exécute cette sonde de port si l'une des sondes non conditionnelles renvoie un port ouvert. Les sondes de ports conditionnelles dans le système de base tentent de résoudre les noms des appareils Windows et les noms DNS. Ces sondes de ports obtiennent des ressources supplémentaires et ne sont pas utilisées à moins qu'une activité soit détectée sur les ports ouverts.
    Script Script à exécuter.