从标准版本EDR3.2.17开始,EDR中心端可以通过“终端发现”功能主动探测当前内网中有哪些主机未安装EDR客户端,以便对全网个全貌了解,从而快速识别出企业内网安全的薄弱节点,并及时做好防范。
终端发现的识别原理:EDR终端发现功能是通过nmap扫描网段中的ip,然后将存活的ip和内置数据库中已经安装的终端IP进行比对,如果没有在已安装列表里面,会被认定为未安装
注意事项: 1、截止标准版本aES6.0.2R1,EDR终端发现功能最多支持填24位掩码的网段,支持写16行,EDR下发扫描检测,当扫描源和未管控终端没在同一个网段时,则会无法获取到MAC地址 2、未管控终端展示扫描的结果是包括之前所有扫描的结果的总和,所以结果可能超出最后一次扫描的范围 3、EDR终端扫描在终端关机状态下是无法扫描的
具体操作路径: 以标准版本EDR3.5.30为例:可在【终端管理】-【终端发现】-【立即扫描】选择发起扫描设备和扫描网段范围即可扫描内网中为部署EDR客户端的活跃主机, 扫描完成后可以以表格形式导出,方便管理员进一步统计分析,如某终端不需要安装EDR客户端,可以点击< 忽略>。 以标准版本aES6.0.2R1为例:可在【资产管理】-【资产发现】里去进行相关扫描 注意:发起扫描设备可以选择EDR中心端或者已经安装了Agent的Linux主机终端
说明: 1、EDR终端发现的扫描结果全部扫描完之后才会展示。 2、EDR终端扫描中“未管控终端”是指 平台终端发现扫描出的未安装EDR的终端。 |