Перейти к основному содержимому
Версия: 4.5.X

KOMRAD-scanner

Микросервис предназначен для управления активами и включает в себя следующие модули:

  • диспетчер активов

  • сканирование

Принцип работы

KOMRAD-scanner использует NMAP, который проходит локальную сборку у нас, при этом мы удаляем из него лишнее — то, что не требуется для работы системы. NMAP используется в качестве инструмента сканирования доступности активов. Если вы видите зелёный кружок у актива, значит, NMAP к нему обращался. Не является подсистемой KOMRAD Enterprise SIEM, но обеспечивает выполнение функций по разнообразному настраиваемому сканированию IP-сетей с любым количеством объектов, используется для определения состояния объектов сканируемой сети (портов и соответствующих им служб).

KOMRAD-scanner использует для хранения базу PostgreSQL, которая именуется scanner и в которой хранятся активы.

Отключение автосканирования активов из событий

В конфигурации komrad-processor.yaml можно:

  • Изменять интервал сброса новых обнаруженных активов в модуль "Сканер Активов" с помощью параметра flushinterval - тогда автоматическое сканирование будет происходить один раз в указанный интервал времени

  • Отключить модуль автоматического обнаружения активов, установив параметр disable: true - тогда сканер будет сканировать активы только после ручного запуска задачи сканирования, автоматическое сканирование не будет работать

  # Параметры блока автоматического обнаружения новых активов
assetsdiscovery:
# Интервал сброса новых обнаруженных активов в модуль Сканер Активов
flushinterval: 1m0s
# Отключить модуль автоматического обнаружения активов
disable: false

Варианты сканирования

В конфигурации komrad-scanner.yaml можно выбрать необходимый вариант сканирования. Для этого откройте конфиг

sudo nano /etc/echelon/komrad/komrad-scanner.yaml

В указанной ниже строке укажите нужный Вам параметр

# Варианты сканирования (nmap|dns|dns-strict|none)
AutoDiscover: здесь напишите нужный вариант сканирования

Для того, чтобы получать hostname в режимах dns и dns-strict, необходимо указать значение вашего dns-сервера

# Можно указать список внутренних DNS серверов для обратного разрешения имён
DNSServers:
- 127.0.0.1

Возможные варианты сканирования:

  • nmap — определяет хосты, доступные в сети. Если машина включена — добавляет актив, если выключена — не добавляет
  • dns — делает dns-запрос на получение hostname, если не может получить — всё равно добавляет актив
  • dns-strict — делает dns-запрос, если не удалось получить hostname, то не создаёт актив
  • none - не создаёт актив