Hoàng Doanh
Intern
Sau khi Virtual Network Sensor đã được triển khai và kết nối thành công với Trend Vision One, ngoài việc thu thập và phân tích traffic, hệ thống còn có thể hỗ trợ phát hiện tài sản trong mạng thông qua tính năng Asset Discovery Scan.
Tính năng này cho phép sử dụng network sensor để quét các dải IP được chỉ định, từ đó phát hiện thiết bị đang tồn tại trong mạng, các cổng đang mở, giao thức, dịch vụ, hệ điều hành dự đoán và một số thông tin khác.
Trong bài lab này, mình cấu hình một scan job để quét dải mạng nội bộ, sau đó tải kết quả scan dưới dạng file CSV để kiểm tra các asset online trong mạng được phát hiện và các thiết bị không thể kết nối.
I. Tổng quan về Asset Discovery Scan
Tính năng này cho phép sử dụng network sensor để quét các dải IP được chỉ định, từ đó phát hiện thiết bị đang tồn tại trong mạng, các cổng đang mở, giao thức, dịch vụ, hệ điều hành dự đoán và một số thông tin khác.
Trong bài lab này, mình cấu hình một scan job để quét dải mạng nội bộ, sau đó tải kết quả scan dưới dạng file CSV để kiểm tra các asset online trong mạng được phát hiện và các thiết bị không thể kết nối.
I. Tổng quan về Asset Discovery Scan
Asset Discovery Scan là tính năng dùng để xác định các device đang tồn tại trong một network segment. Sau khi scan hoàn tất, hệ thống có thể cung cấp các thông tin như:
- IP address của thiết bị.
- Hostname/FQDN nếu xác định được.
- Open ports.
- Protocol.
- Service type.
- Product/service version.
- OS fingerprint.
Kết quả scan có thể được dùng để hỗ trợ quản lý asset, đánh giá bề mặt tấn công và bổ sung dữ liệu cho các tính năng liên quan đến risk exposure.
II. Cấu hình Asset Discovery Scan
Bước 1: Truy cập Active Asset Discovery. Tại giao diện Trend Vision One, truy cập: Network Security > Active Asset Discovery.
Tại đây, hệ thống hiển thị danh sách các scan job đã được tạo, bao gồm các thông tin như:
- Scan name.
- Sensor thực hiện scan.
- Số lượng discovered assets.
- Last scan time.
- Next scan time.
- Last changed.
- Status.
Bước 2: Tạo scan job mới. Tiến hành tạo một scan job mới, nhập các thông tin cơ bản và chỉ định Sensor sẽ được dùng để scan.
Bước 3: Cấu hình scan target
Trong phần Scan targets, chọn network sensor và nhập dải IP cần quét. Dải IP này đại diện cho network segment nội bộ cần phát hiện asset.
Bước 4: Cấu hình scan ports. Ở phần Scan ports, Trend Vision One cho phép chọn loại port cần quét, gồm:
- Most common TCP ports.
- Most common UDP ports.
- Most common TCP/UDP ports.
- All TCP ports.
Trong bài lab, mình chọn Most common TCP ports.
Bước 5: Cấu hình scan time. Ở phần Scan time, hệ thống hỗ trợ hai kiểu trigger là Manual và Scheduled. Với Manual, job được chạy thủ công khi người quản trị kích hoạt. Với Scheduled, scan được lên lịch chạy định kỳ theo thời gian cấu hình.
Trong phạm vi lab, có thể sử dụng Manual để chủ động kiểm tra kết quả ngay sau khi cấu hình.
III. Kiểm tra scan reportSau khi scan hoàn tất, Trend Vision One hiển thị scan report trong mục Scan reports và cho phép download report để xem offline.
Trong thư mục kết quả tải về có hai file chính: Discovery_results.csv và Failed_And_Excluded_StatusInformation.csv
File Discovery_results.csv chứa danh sách các asset/dịch vụ được phát hiện trong quá trình scan. Một số thông tin có trong file gồm:
- Host name.
- FQDN.
- IP address.
- Open port.
- OS.
- Protocol.
- Service type.
- Product.
- Version.
- Issuer.
- Certificate validity information.
File Failed_And_Excluded_StatusInformation.csv ghi nhận các IP không thể quét thành công hoặc bị loại trừ trong quá trình scan. File này hữu ích để kiểm tra lại các subnet hoặc IP không phản hồi, từ đó xác định vấn đề là do thiết bị không tồn tại, mất kết nối hay bị firewall chặn.
Bài viết liên quan
Được quan tâm
Bài viết mới