端点监视器
端点监视器或扫描模式可以运行无代理扫描,该扫描在收集器旁边每小时从端点收集一次数据。
Endpoint Monitor从未安装Insight Agent的资产收集所需数据,并在扫描完成后立即关闭。您可以使用端点监视器作为使用Insight代理的替代必威体育app登录方案。
请注意有关端点监视器的以下内容:
- Rapid7建议通过端点监视器使用Insight Age必威体育app登录nt,因为Insight Agent收集实时数据,能够进行更多检测,并允许您使用预定的取证特性。看到必威体育app登录Insight Agent部署说明的必威体育app登录文档。
- 如果您是托管检测和响应(MDR)客户,则不能使用端点监视器。您必须在至少80%的端点上安装Insigh必威体育app登录t Agent。请注意,Rapid7建议MDR客户在所有可能的端点上安装Insight Agent,而不仅仅是80%的端点。必威体育app登录但是,为了进行全面服务监控必威体育app登录,需要在至少80%的端点上安装Insight Agent。
- 端点监视器仅在Windows资源上工作。
在你开始之前
在设置端点监视器之前,请检查以下部分:
然后您可以配置端点监视器.
要求
许可要求包括:
- 端点监视器需要管理员凭据。准备服务帐户使用管理凭据,以便向数据收集的目标端点进行身份验证。
- 必须在用于运行端点扫描的帐户的指定端点上创建用户配置文件。在端点扫描过程发生之前,用户必须登录到指定的端点。
- 为了在一个网络上部署多个相同操作系统类型的Endpoint Scans,您必须为每个域配置一个主机Collector和它自己的凭据。
社交需求包括:
- 端点监视器必须能够与端点建立WMI(Windows)。
- 端点必须能够在20000到30000之间的端口上发起回收集器的连接。
- 如果您有防火墙或web代理限制外发连接,则必须为Collector授予连接后端服务器的权限。看到防火墙规则为特定的信息。
检查网络需求以确保端点监视器在您的网络上正常工作。请注意,当扫描定义的IP范围时,端点监视器无法看到离开网络的系统。
关键服务器和远程终端需要必威体育app登录安装Insight Agent
对于属于远程员工的关键服务器和端点,您应该安装Insight Agent以启用事件和资产的实时流。必威体育app登录
带宽影响
输入IP地址或IP地址范围后,采集器将在几分钟内开始扫描。由于典型的Collector扫描需要30-60分钟,因此对于类C(/24)子网,Endpoint Monitor仅每小时或每2小时扫描一次资产。
对于大多数环境,由于扫描程序在每次扫描之间强制设置了30分钟的冷却时间,因此对带宽的影响很小或可以忽略不计。
IPs/CPU |
扫描每个端点的间隔时间 |
---|---|
1–16,000 |
每次扫描1小时 |
16,000–32,000 |
每次扫描2.5小时 |
32,000–64,000 |
每次扫描5-8小时 |
单个采集器可以处理为每个可用CPU扫描的约16000个端点。您可以通过多个端点监视器扫描拆分端点IP范围。但是,为了避免端点范围重叠,请不要在多个采集器上定义IP地址或IP范围。
小心/8和/16子网,否则您可能会配置端点监视器扫描太多的资产。
低带宽环境
对于极低带宽的环境,端点监视器在扫描期间使用以下资源:
- 每次扫描每个资产大约300KB,以收集端点信息
- 每次扫描需要额外的10MB传输,以便将数据传输到采集器
配置端点监视器和端点范围
要配置端点监视器并添加端点范围,请执行以下操作:
- 从InsightIDR主页中选择资产&端点.
- 单击界面右上角的设置扫描代理.
您将看到“扫描代理范围”页面,其中既显示已配置的资产范围,也显示尚未配置范围的资产。
- 点击添加端点范围从页面的右上角开始。右侧将出现一个窥视面板。
- 输入要监视的IP地址范围。
范围不能大于CIDR/16
端点监视器范围不能大于CIDR/16,该范围最大为65536个主机。如果可能,请使用覆盖特定端点范围所需的最小范围。对于单个资产,包括/32 CIDR符号。
- 从收集器名称下拉菜单中选择要使用的收集器。
- 从“凭据名称”下拉菜单中选择凭据。
- (可选)在IP范围名称字段中输入IP范围名称。
- 点击创建新范围按钮
数据将填充到端点监视的扫描代理范围部分。
资产数据收集
端点监视器从您的资产和端点收集以下数据:
- 本地用户活动
- Windows登录活动
- 事件日志篡改
- 散列过程识别
- 过程共性分析
- 恶意软件分析过程
但是,端点监视器不收集以下数据:
- 法医工作
- 实时/连续采集
- 利用减轻
- 蜂蜜文件访问
- 本地蜂蜜证书特权升级尝试
- 协议中毒检测
- 检测到远程文件执行
故障排除
如果您在使用端点监视器时遇到问题,请查看以下解决方案以解决问题:
端点监视器扫描期间未返回日志的端点
如果在扫描或Insight Agent中未看到端点返回日志,请完成以下步骤:必威体育app登录
- 确认预期的端口已打开并可用。看到网络需求为特定的信息。
- 如果正确配置了外部防火墙和web代理,请在以下目录中检查代理日志文件的示例端点:
C:\Windows\Temp\
C:\Users\IDR\u service\u account\AppData\Local\Temp\
- 找到Rapid7文件夹并查找以下3个文件:
agent.log
json
powershell.log
- 压缩文件并将其发送到Rapid7支持部门进行审查。
读取扫描日志结果
在每次扫描结束时,端点监视器将在中报告扫描结果collector.log
.
如果端点监视器出现问题,可以使用以下命令查看日志中的错误:
1win-endpoint-monitor-scheduled-scan-00 com.rapid7.domain.collector.endpointmonitor. com.rapid7.domain.collector.endpointmonitor. com.rapid7.domain.collector.endpointmonitor。BulkAssetScanStatistics{total =ScanStatistics{success=192, domainController=2, unavailable=70570, error=324, badCredential=13, timedOut=187, ipsscanning =71086}, totalScanTime=13435777}2win-endpoint-monitor-scheduled-scan-00 com.rapid7.domain.collector.endpointmonitor。AbstractEndpointMonitorDataSource:224 - Failed to scan 10.0.000.00 and 123 other asset(s): com.rapid7.net.wmi.exception.WMIException: Message not found for errorCode: 0x80041003
错误代码
使用下表来确定扫描日志中的错误含义:
错误代码 |
定义 |
---|---|
|
在尝试的IP上没有资产侦听。可能有防火墙阻止连接,可能无法访问部分网络,或者在该IP地址上根本没有资产运行。 |
|
在尝试通信期间从终端收到错误代码。 |
|
尝试连接到端点,但被拒绝。 |
|
已建立连接,但未收到响应。 |
端点监视器页上的错误消息
端点监视页面上的许多错误都是由于网络中断导致的,这些中断可以自行解决。但是,请注意以下错误:
- 如果您注意到整个IP范围显示错误,可能是网络问题。
- 如果某个特定的端点始终显示相同的错误,则可能是该设备配置错误或无法访问。
错误0 x80041003
一个端点返回错误0x80041003
表示终结点不允许远程WMI查询。要修复此错误,请执行以下操作:
- 在端点上运行
wmimgmt
,或去管理工具>计算机管理.出现WMI控制面板。 - 在左侧面板上,单击鼠标右键WMI控件(本地)>属性.
- 选择安全选项卡。
- 扩展根文件夹,然后选择CIMV2选项
- 点击安全以显示ROOT\CIMV2安全性,并添加您在端点监视器中配置的凭据。
- 确保向新添加的凭据授予以下权限:
- 执行方法
- 启用帐户
- 远程启用