通过DHCP日志查询发现资产

此连接将您的可见性扩展到您的资产清单中,以暴露在其他情况下可能不明显的资产。扫描引擎查询DHCP服务器的日志,这些日志每5秒动态更新一次。引擎将这些查询的结果传递给Security Console。对于每个DHCP连接,您将分配一个特定的扫描引擎。

在第一次连接时,该方法将生成当前的DHCP租约表。初次建立连接时,会在当前的DHCP租约表中发现资产。当连接保持活跃状态时,DHCP服务器会不断发现新的资产,并不断更新现有资产的IP地址。

您可以利用分布式扫描引擎的数量与多个DHCP服务器进行通信,并与不易访问的位置(如防火墙后面或网络外围)的这些服务器进行连接。

DHCP方法只通过不同的方法或扫描发现尚未被exposed发现的资产。

DHCP采集方式有两种:

  • 目录中监控DHCP服务器主机上的指定目录,并每隔10秒上传添加到该目录的新DHCP项。对于切换到新文件的日志文件,如Microsoft DHCP或Internet Information Services (IIS)文件,请使用此方法。
  • syslog.操作类似于syslog服务器,在TCP或UDP端口上监听以接收syslog消息。如果使用Infoblox Trinzic设备管理DHCP信息,请使用此方法。

通过DHCP目录监视器方法准备动态发现的目标环境

的当前实现的DHCP发现目录中方法支持Microsoft Server 2008和2012。

确保您的Microsoft DHCP配置启用日志记录。您还必须将日志文件移动到与DHCP数据库文件分开的目录。Microsoft DHCP将日志数据存储在一周中的每一天的单独文件中,并每周覆盖每个文件。

提示:Windows 2008环境下DHCP日志文件的默认路径为%列出% \ System32系统\ Dhcp.Windows 2012中的路径为% systemroot % \ System32系统\ Dhcp

通过IP地址而不是主机名添加资产

在跨站点具有重复主机名的环境中,可以通过IP地址而不是主机名关联DHCP资产。

步骤1:将资产添加到站点时,首选IP地址而不是主机名

需要将以下内容添加到nsc / CustomEnvironment.properties文件:

         
1
com.rapid7.eso.sites.prefer.ip = true

现在应将资产添加到网站上作为IP地址而不是通过主机名。

步骤2:配置DHCP在资产关联时优先选择IP地址

请务必先删除所有通过DHCP发现的资产,并从站点中删除相关资产定义。需要将以下内容添加到nsc / CustomEnvironment.properties文件:

         
1
com.rapid7.nsc.dhcp.prefer.ip = true

完成后,通过DHCP重新发现所有被删除的资产。DHCP发现的资产现在应该与IP地址的首选项正确关联。