被动发现设置
被动发现功能需要在代理策略功能中启用。
被动发现可检测企业网络中的所有设备。 它将会监听任何上线的设备,检测到 ARP(Address Resolution Protocol,地址解析协议)请求后,将会捕获子网上的设备详细信息。 将使用 NetBIOS 和反向 DNS 查询对已发现的设备执行名称解析。 如果对网络启用了操作系统指纹识别技术,则可以使用该技术来发现设备的操作系统。
结果会回报至 Neurons 平台 > 设备。
如果需要在设备上安装更多代理,则可以使用下载代理选项。 与代理一同下载的基础设施代理策略默认启用“发现”功能。
客户端自选择过程
启用在设备连接到网络时检测设备时,将启用客户端自选择过程 (CSEP)。 使用客户端自选择服务可确保发现始终处于启动和监听状态。 初始执行 VPN 检查的方法是,使用区分大小写的关键词来检测已连接的客户端 VPN 适配器。 如果发现设备连接至 VPN,则设备不会参与自选择过程,而只会发现企业网络中的设备。 如果设备可以与企业网络通信,设备会进行自组织并利用智能选择过程来选择由哪个设备进行监听并将数据发回至 Ivanti Neurons。 如果设备可以与选定设备通信,则相互信任。 如果选定设备下线,自组织过程将会识别并选择替代设备,从而保证发现不受中断。 智能选择过程会按配置以及提供服务的能力对可用设备进行排名,例如更多 CPU 核心或更多可用磁盘空间。
Ivanti Neurons 代理必须在这些设置或您所做的任何更改生效之前成功签入。
- 在设备连接到网络时检测设备:选择此项以启用被动发现,用于侦听子网上的网络流量,以检测任何正在连接的设备。
必须指定设备以启用后台运行的客户端自选择过程。- 设备名称:输入企业网络中设备的名称。 自选择设备将联系此设备以确认其位于企业网络中,因此请选择始终在线且仅在企业网络中可用的设备,例如 域控制器。
- 设备 IP:输入设备的 IP 地址。
通过 ping 确认设备名称与 IP 地址是否匹配,以此来验证设备。
- 操作系统检测:默认为启用。 允许发现尝试检测要发现的操作系统和设备类型。 如果禁用,则会禁止检测所发现设备的操作系统和设备类型详细信息。
操作系统检测扫描以 5 个为一组同时进行。
重要事项:由于操作系统检测技术是通过发送 TCP/UDP 和 ICMP 探测来扫描远程设备以尝试确定操作系统,因此这一技术可能会生成误报并触发入侵检测系统 (IDS)。
- 反向 DNS 查找:选择此项可在 NetBIOS 查找失败时针对 IP 地址执行 DNS 查找。
Ivanti Neurons Discovery 使用 Npcap 进行 ARP 检测,使用 Nmap 进行操作系统检测,两者都需要管理员权限。
在网络堆栈中安装或卸载 Npcap 驱动程序时,网络连接会出现短暂中断。 要了解更多信息,请参阅 Ivanti 社区文章。