端点监视器

端点监视器或扫描模式可以运行无代理扫描,该扫描在收集器旁边每小时从端点收集一次数据。

Endpoint Monitor从未安装Insight Agent的资产收集所需数据,并在扫描完成后立即关闭。您可以使用端点监视器作为使用Insight代理的替代必威体育app登录方案。

请注意有关端点监视器的以下内容:

  • Rapid7建议通过端点监视器使用Insight Age必威体育app登录nt,因为Insight Agent收集实时数据,能够进行更多检测,并允许您使用预定的取证特性。看到必威体育app登录Insight Agent部署说明的必威体育app登录文档。
  • 如果您是托管检测和响应(MDR)客户,则不能使用端点监视器。您必须在至少80%的端点上安装Insigh必威体育app登录t Agent。请注意,Rapid7建议MDR客户在所有可能的端点上安装Insight Agent,而不仅仅是80%的端点。必威体育app登录但是,为了进行全面服务监控必威体育app登录,需要在至少80%的端点上安装Insight Agent。
  • 端点监视器仅在Windows资源上工作。

在你开始之前

在设置端点监视器之前,请检查以下部分:

然后您可以配置端点监视器

要求

许可要求包括:

  • 端点监视器需要管理员凭据。准备服务帐户使用管理凭据,以便向数据收集的目标端点进行身份验证。
  • 必须在用于运行端点扫描的帐户的指定端点上创建用户配置文件。在端点扫描过程发生之前,用户必须登录到指定的端点。
  • 为了在一个网络上部署多个相同操作系统类型的Endpoint Scans,您必须为每个域配置一个主机Collector和它自己的凭据。

社交需求包括:

  • 端点监视器必须能够与端点建立WMI(Windows)。
  • 端点必须能够在20000到30000之间的端口上发起回收集器的连接。
  • 如果您有防火墙或web代理限制外发连接,则必须为Collector授予连接后端服务器的权限。看到防火墙规则为特定的信息。

检查网络需求以确保端点监视器在您的网络上正常工作。请注意,当扫描定义的IP范围时,端点监视器无法看到离开网络的系统。

关键服务器和远程终端需要必威体育app登录安装Insight Agent

对于属于远程员工的关键服务器和端点,您应该安装Insight Agent以启用事件和资产的实时流。必威体育app登录

带宽影响

输入IP地址或IP地址范围后,采集器将在几分钟内开始扫描。由于典型的Collector扫描需要30-60分钟,因此对于类C(/24)子网,Endpoint Monitor仅每小时或每2小时扫描一次资产。

对于大多数环境,由于扫描程序在每次扫描之间强制设置了30分钟的冷却时间,因此对带宽的影响很小或可以忽略不计。

IPs/CPU

扫描每个端点的间隔时间

1–16,000

每次扫描1小时

16,000–32,000

每次扫描2.5小时

32,000–64,000

每次扫描5-8小时

单个采集器可以处理为每个可用CPU扫描的约16000个端点。您可以通过多个端点监视器扫描拆分端点IP范围。但是,为了避免端点范围重叠,请不要在多个采集器上定义IP地址或IP范围。

小心/8和/16子网,否则您可能会配置端点监视器扫描太多的资产。

低带宽环境

对于极低带宽的环境,端点监视器在扫描期间使用以下资源:

  • 每次扫描每个资产大约300KB,以收集端点信息
  • 每次扫描需要额外的10MB传输,以便将数据传输到采集器

配置端点监视器和端点范围

要配置端点监视器并添加端点范围,请执行以下操作:

  1. 从InsightIDR主页中选择资产&端点
  2. 单击界面右上角的设置扫描代理

您将看到“扫描代理范围”页面,其中既显示已配置的资产范围,也显示尚未配置范围的资产。

  1. 点击添加端点范围从页面的右上角开始。右侧将出现一个窥视面板。
  1. 输入要监视的IP地址范围。

范围不能大于CIDR/16

端点监视器范围不能大于CIDR/16,该范围最大为65536个主机。如果可能,请使用覆盖特定端点范围所需的最小范围。对于单个资产,包括/32 CIDR符号。

  1. 从收集器名称下拉菜单中选择要使用的收集器。
  2. 从“凭据名称”下拉菜单中选择凭据。
  3. (可选)在IP范围名称字段中输入IP范围名称。
  4. 点击创建新范围按钮

数据将填充到端点监视的扫描代理范围部分。

资产数据收集

端点监视器从您的资产和端点收集以下数据:

  • 本地用户活动
  • Windows登录活动
  • 事件日志篡改
  • 散列过程识别
  • 过程共性分析
  • 恶意软件分析过程

但是,端点监视器不收集以下数据:

  • 法医工作
  • 实时/连续采集
  • 利用减轻
  • 蜂蜜文件访问
  • 本地蜂蜜证书特权升级尝试
  • 协议中毒检测
  • 检测到远程文件执行

故障排除

如果您在使用端点监视器时遇到问题,请查看以下解决方案以解决问题:

端点监视器扫描期间未返回日志的端点

如果在扫描或Insight Agent中未看到端点返回日志,请完成以下步骤:必威体育app登录

  1. 确认预期的端口已打开并可用。看到网络需求为特定的信息。
  2. 如果正确配置了外部防火墙和web代理,请在以下目录中检查代理日志文件的示例端点:
    • C:\Windows\Temp\
    • C:\Users\IDR\u service\u account\AppData\Local\Temp\
  3. 找到Rapid7文件夹并查找以下3个文件:
    • agent.log
    • json
    • powershell.log
  4. 压缩文件并将其发送到Rapid7支持部门进行审查。

读取扫描日志结果

在每次扫描结束时,端点监视器将在中报告扫描结果collector.log

如果端点监视器出现问题,可以使用以下命令查看日志中的错误:

         
1
win-endpoint-monitor-scheduled-scan-00 com.rapid7.domain.collector.endpointmonitor. com.rapid7.domain.collector.endpointmonitor. com.rapid7.domain.collector.endpointmonitor。BulkAssetScanStatistics{total =ScanStatistics{success=192, domainController=2, unavailable=70570, error=324, badCredential=13, timedOut=187, ipsscanning =71086}, totalScanTime=13435777}
2
win-endpoint-monitor-scheduled-scan-00 com.rapid7.domain.collector.endpointmonitor。AbstractEndpointMonitorDataSource:224 - Failed to scan 10.0.000.00 and 123 other asset(s): com.rapid7.net.wmi.exception.WMIException: Message not found for errorCode: 0x80041003

错误代码

使用下表来确定扫描日志中的错误含义:

错误代码

定义

不可用

在尝试的IP上没有资产侦听。可能有防火墙阻止连接,可能无法访问部分网络,或者在该IP地址上根本没有资产运行。

错误

在尝试通信期间从终端收到错误代码。

badcredential

尝试连接到端点,但被拒绝。

timedout

已建立连接,但未收到响应。

端点监视器页上的错误消息

端点监视页面上的许多错误都是由于网络中断导致的,这些中断可以自行解决。但是,请注意以下错误:

  • 如果您注意到整个IP范围显示错误,可能是网络问题。
  • 如果某个特定的端点始终显示相同的错误,则可能是该设备配置错误或无法访问。

错误0 x80041003

一个端点返回错误0x80041003表示终结点不允许远程WMI查询。要修复此错误,请执行以下操作:

  1. 在端点上运行wmimgmt,或去管理工具>计算机管理.出现WMI控制面板。
  2. 在左侧面板上,单击鼠标右键WMI控件(本地)>属性
  3. 选择安全选项卡。
  4. 扩展文件夹,然后选择CIMV2选项
  5. 点击安全以显示ROOT\CIMV2安全性,并添加您在端点监视器中配置的凭据。
  6. 确保向新添加的凭据授予以下权限:
    • 执行方法
    • 启用帐户
    • 远程启用