KOMRAD-scanner

Микросервис предназначен для управления активами и включает в себя следующие модули:

  • диспетчер активов

  • сканирование

Принцип работы

KOMRAD-scanner использует NMAP, который проходит локальную сборку у нас, при этом мы удаляем из него лишнее — то, что не требуется для работы программы. NMAP используется в качестве инструмента сканирования доступности активов. Если вы видите зелёный кружок у актива, значит, NMAP к нему обращался. Не является подсистемой KOMRAD Enterprise SIEM, но обеспечивает выполнение функций по разнообразному настраиваемому сканированию IP-сетей с любым количеством объектов, используется для определения состояния объектов сканируемой сети (портов и соответствующих им служб).

KOMRAD-scanner использует для хранения базу PostgreSQL, которая именуется scanner и в которой хранятся активы.

Отключение автосканирования активов из событий

В конфигурации komrad-processor.yaml можно:

  • Изменять интервал сброса новых обнаруженных активов в модуль "Сканер Активов" с помощью параметра flushinterval - тогда автосканирование будет происходить один раз в указанный интервал времени

  • Отключить модуль автоматического обнаружения активов, установив параметр disable: true - тогда сканер будет сканировать активы только после ручного запуска задачи сканирования, автосканирование не будет работать

# Параметры блока автоматического обнаружения новых активов
assetsdiscovery:
  # Интервал сброса новых обнаруженных активов в модуль Сканер Активов
  flushinterval: 1m0s
  # Отключить модуль автоматического обнаружения активов
  disable: false

Варианты сканирования

В конфигурации komrad-scanner.yaml можно выбрать необходимый вариант сканирования. Для этого откройте конфиг:

sudo nano /etc/echelon/komrad/komrad-scanner.yaml

В указанной ниже строке укажите нужный вам параметр:

# Варианты сканирования (nmap|dns|dns-strict|none)
AutoDiscover: здесь напишите нужный вариант сканирования

Для того, чтобы получать hostname в режимах dns и dns-strict, необходимо указать значение вашего dns-сервера:

# Можно указать список внутренних DNS серверов для обратного разрешения имён
DNSServers:
- 127.0.0.1

Возможные варианты сканирования:

  1. nmap — определяет хосты, доступные в сети. Если машина включена — добавляет актив, если выключена — не добавляет

  2. dns — делает dns-запрос на получение hostname, если не может получить — всё равно добавляет актив

  3. dns-strict — делает dns-запрос, если не удалось получить hostname, то не создаёт актив

  4. none - не создаёт актив

Последнее изменение 23.03.2023