Port-Sonden

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Port-Probes werden in Discovery von der Shazzam-Probe verwendet, um Protokollaktivitäten an offenen Ports auf gefundenen Geräten zu erkennen.

    Wenn eine Port-Probe auf ein Protokoll stößt, das verwendet wird, überprüft der Shazzam-Sensor den Port-Probe-Datensatz, um zu bestimmen, welche Klassifizierungs-Probe gestartet werden soll. Die gängigen Protokolle WMI, SSH, SNMP und HTTP im Basissystem besitzen Prioritätszahlen, die die Reihenfolge steuern, in der sie gestartet werden.

    Die Priorität lautet wie folgt:

    • 1 - WMI
    • 2 - SSH
    • 3 - SNMP
    • 4 - HTTP

    Im Basissystem wird die WMI-Probe immer zuerst gestartet. Wenn sie auf einem Gerät erfolgreich ist, werden keine anderen Port-Probes für dieses Gerät gestartet. Wenn die WMI-Probe nicht erfolgreich ist, wird die SSH-Probe gestartet, um Informationen über das Gerät zu erfassen. Wenn diese nicht erfolgreich ist, wird die SNMP-Probe gestartet. Mit dieser Methode kann Discovery Geräte ordnungsgemäß klassifizieren, wenn darauf mehrere Protokolle ausgeführt werden (zum Beispiel SSH, SNMP und HTTP).

    Formular „Discovery-Anschlussprobe“

    Um auf das Port-Probe-Formular zuzugreifen, navigieren Sie zu Discovery-Definition > Anschlussprobes.

    Um einer Port-Probe mehrere Klassifizierungs-Probes hinzuzufügen, erstellen Sie eine Verknüpfung zwischen der Port-Probe und der eigentlichen Klassifizierungs-Probe. Unten im Formular können Sie weitere Auslöser-Probes hinzuzufügen. Auf diese Weise wirkt sich eine fehlgeschlagene Klassifizierung nicht auf die anderen aus, sodass die Discovery-Leistung verbessert werden kann.
    Formular „Discovery-Port-Probe“.
    Das Formular „Anschlussprobe“ enthält die folgenden Felder:
    Tabelle : 1. Port-Sonden
    Feld Eingabewert
    Name Einfacher Name der Port-Probe, der ihre Funktionalität widerspiegelt (zum Beispiel SNMP)
    Beschreibung Definition des Akronyms für das Protokoll. (SSH steht zum Beispiel für Secure Shell Login.)
    Scanner Shazzam-Techniken zur Erkundung von Ports. Einige davon sind protokollspezifisch, andere generisch. Für eine WMI-Port-Probe wird beispielsweise der Scanner-Wert „Generic TCP“ und für die SNMP-Port-Probe der Wert „SNMP“ verwendet.
    Aktiv Gibt an, ob diese Port-Probe aktiviert oder deaktiviert ist
    CIs Gibt an, ob diese Port-Probe für die Erkennung von Konfigurationselementen aktiviert oder deaktiviert ist
    IPs Gibt an, ob diese Port-Probe für die Erkennung von IP-Adressen aktiviert oder deaktiviert ist
    Durch Services ausgelöst Gibt an, welche Services die Portnutzung definieren. Verwenden Sie diese Einstellung, um eine nicht standardmäßige Portnutzung zu definieren und die Portnummer an das Protokoll zu koppeln.
    Klassifizierung verwenden Benennt die entsprechende Klassifizierungstabelle basierend auf dem untersuchten Protokoll
    Klassifizierungspriorität

    Legt die Priorität fest, mit der die jeweilige Port-Probe ausgeführt wird. Wenn die erste Port-Probe fehlschlägt, wird die nächste Probe auf dem Gerät ausgeführt usw., bis die richtigen Daten zurückgegeben werden. Dies ermöglicht die richtige Klassifizierung eines Geräts, auf dem zwei Protokolle wie SSH und SNMP ausgeführt werden. Die Standardprioritäten für die Discovery-Protokolle lauten:

    • 1 - WMI
    • 2 - SSH
    • 3 - SNMP
    • 4 - HTTP
    Ergänzend Startet zusätzliche Klassifizierungen in der Reihenfolge ihrer Priorität, nachdem eine Identifizierung mit höherer Priorität erfolgreich ausgeführt wurde
    Bedingt

    Führt diese Port-Probe aus, wenn eine der nicht bedingten Probes einen offenen Port zurückgibt. Die bedingten Port-Probes im Basissystem versuchen, die Namen von Windows-Geräten und DNS-Namen aufzulösen. Diese Port-Probes benötigen zusätzliche Ressourcen und werden nur verwendet, wenn Aktivität an offenen Ports erkannt wurde.
    Skript Auszuführendes Skript.