Passive Erkennung
Admin > Erkennung > Erkennungseinstellungen > Registerkarte "Passive Erkennung".
Die passive Erkennung ermittelt alle Geräte in Ihrem Unternehmensnetzwerk. Die Funktion sucht nach allen Geräten, die online gesetzt werden. Sobald eine ARP-Anforderung (Address Resolution Protocol) erkannt wird, erfasst die passive Erkennung die Gerätedetails im Subnetz. Die Namensauflösung für erkannte Geräte erfolgt anhand von NetBIOS und rekursiven DNS-Abfragen. Das Betriebssystem für das Gerät wird mittels OS Fingerprinting-Technologie erkannt, sofern diese für das Netzwerk aktiviert ist.
Die Ergebnisse werden zurück an den Bereich Neurons-Plattform > Geräte gemeldet.
Selbstelektionsprozess
Der Selbstelektionsprozess ist aktiviert, wenn Geräte erkennen, sobald sich diese mit dem Netzwerk verbinden aktiviert ist. Mit der Verwendung von Selbstelektionsdiensten wird sichergestellt, dass die Erkennung jederzeit aktiviert und empfangsbereit ist. Zu Beginn wird eine VPN-Prüfung durchgeführt, indem verbundene Client-VPN-Adapter erkannt werden. Dabei kommen Stichwörter mit Unterscheidung zwischen Groß- und Kleinschreibung zum Einsatz. Wird festgestellt, dass ein Gerät mit einem VPN verbunden ist, nimmt das Gerät nicht am Selbstelektionsprozess teil. Er werden nur Geräte im Unternehmensnetzwerk ermittelt. Wenn Geräte mit dem Unternehmensnetzwerk kommunizieren können, organisieren und verwenden sie eigenständig einen intelligenten Elektionsprozess, um festzulegen, welches Gerät empfangsbereit ist und Daten zurück an Ivanti Neurons sendet. Wenn die Geräte mit dem ausgewählten Gerät kommunizieren können, vertrauen sie sich alle gegenseitig. Wird das ausgewählte Gerät offline gesetzt, identifiziert und wählt der selbstorganisierende Prozess ein Ersatzgerät aus, sodass die Erkennung nicht unterbrochen wird. Der intelligente Elektionsprozess legt die Rangfolge der verfügbaren Geräte nach Konfiguration und Dienstkapazität fest, z. B. Anzahl der CPU-Cores oder verfügbarer Festplattenspeicherplatz.
Der Ivanti Neurons-Agent muss zuerst erfolgreich einchecken, damit diese Einstellungen oder alle von Ihnen vorgenommenen Änderungen wirksam werden.
Geräte erkennen, sobald sich diese mit dem Netzwerk verbinden: Wählen Sie diese Option aus, um die passive Erkennung zu aktivieren und den Netzwerkdatenverkehr im Subnetz auf neue Geräteverbindungen zu überwachen.
Es muss ein Gerät nominiert sein, damit der im Hintergrund ausgeführte Selbstelektionsprozess aktiviert werden kann.
- Gerätename: Geben Sie den Namen eines Geräts in Ihrem Unternehmensnetzwerk ein. Das selbstelektierte Gerät kontaktiert dieses Gerät, um zu prüfen, ob es sich in Ihrem Unternehmensnetzwerk befindet. Sie sollten daher ein Gerät wählen, dass immer online und nur in Ihrem Unternehmensnetzwerk verfügbar ist, z. B. einen Domänencontroller.
- Geräte-IP: Geben Sie die IP-Adresse für das Gerät ein.
Das Gerät wird validiert, indem ein Ping-Befehl an den Gerätenamen gesendet wird, der mit der IP-Adresse übereinstimmt.
Betriebssystemermittlung: Standardmäßig aktiviert. Die Ermittlungsfunktion versucht, das Betriebssystem und den Typ des zu ermittelnden Geräts zu bestimmen. Wenn die Option deaktiviert ist, wird verhindert, dass Betriebssystem und Typ der ermittelten Geräte bestimmt werden.
Scans vom Typ Betriebssystemermittlung werden in 5er-Stapeln durchgeführt.
Wichtig: Die Funktion zur Betriebssystemermittlung generiert unter Umständen False Positives und löst Eindringungserkennungssysteme (Intrusion Detection Systems, IDS) aus. Das liegt daran, dass die Technologie Remotescans durch Senden von TCP/UDP- und ICMP-Stichproben durchführt und so versucht, das Betriebssystem zu ermitteln.
Umgekehrte DNS-Suche: Wählen Sie diese Option aus, um eine DNS-Suche anhand der IP-Adresse durchzuführen, falls die NetBIOS-Suche fehlschlägt.
Nur Bereitstellungsrepräsentanten: Wählen Sie diese Option aus, um die passive Erkennung und die BS-Erkennung nur über Bereitstellungsrepräsentanten auszuführen. Die Standardeinstellung ist "Aus".
Ein erhöhter Volume-Traffic, der durch eine BS-Erkennung ausgelöst wurde, kann interne Sicherheitsprobleme auslösen. Diese Einstellung beschränkt den Traffic auf jene Geräte, bei denen es sich um spezielle Bereitstellungsrepräsentanten handelt. Die Sicherheitssoftware kann anschließend konfiguriert werden, um diesen Geräten das Ausführen von Scanvorgängen zu ermöglichen.
Ivanti Neurons Discovery verwendet Npcap für die ARP-Erkennung und Nmap für die Betriebssystemerkennung. Für beides sind Administratorberechtigungen erforderlich. Wenn Sie Nur für Bereitstellungsrepräsentanten auswählen, ist auf Geräten, die keineBereitstellungsrepräsentanten sind, weder Npcap noch Nmap installiert.
Beim Installieren oder Deinstallieren des Npcap-Treibers im Netzwerkstack kommt es zu einer kurzen Unterbrechung der Netzwerkkonnektivität. Weitere Informationen finden Sie in diesem Artikel der Ivanti Community.