Служба EtherSensor Identity отвечает за накопление и обработку метаданных, которые используются в Microolap EtherSensor для решения задачи безагентной привязки перехваченного объекта сетевого трафика к конкретному хосту или пользователю.
В версии 6.1 EtherSensor Identity взаимодействует со следующими источниками метаданных:
EtherSensor подключается к контроллерам доменов как WMI-клиент и получает данные о пользователях сети, прошедших аутентификацию (для получения данных от контроллера доменов необходима учетная запись с соответствующими правами). Таким образом EtherSensor может видеть активных пользователей корпоративной сети, их IP-адреса и названия компьютеров, а затем использовать эти данные для привязки перехваченного объекта к пользователю или хосту.
Альтернатива: Для получения этих данных вместо подключения к контроллеру доменов можно использовать установленный на рабочих станциях/серверах logon script, отправляющий данные об аутентификации пользователя на SYSLOG-сервер службы EtherSensor Identity. |
|---|
EtherSensor использует DNS-серверы для связывания IP-адресов перехваченных объектов с именами хостов в сети организации и в сети Интернет.
EtherSensor использует DNSBL-серверы для детектирования объектов из соединений с небезопасными ресурсами Интернет (как по IP-адресам, так и по DNS-именам).
EtherSensor поддерживает получение сообщений об аутентификации с различных внешних устройств и систем по протоколу SYSLOG. Поддерживаемые транспортные протоколы: UDP, TCP, и TLS over TCP.
Внешними системами, предоставляющими по протоколу SYSLOG данные службе EtherSensor Identity об аутентификации, могут быть:
Межсетевые экраны:
Palo Alto Networks PA, Check Point NGFW и т.д.
Прокси-серверы:
Symantec Proxy SG, Cisco IronPort и т.д.
Рабочие станции/серверы:
Linux, Mac OS и т.д.
Программные агенты:
DLP-агенты, EDR-агенты и т.д.
Сообщения об аутентификации из разных источников отличаются форматами и наборами данных. Для поддержки конкретного источника требуется дополнительное конфигурирование как самого источника, так и службы EtherSensor Identity. |
|---|
EtherSensor также может взаимодействовать со своими собственными агентами, установленными на рабочих станциях или серверах. Агенты предоставляют серверу агентов EtherSensor информацию о сетевых соединениях локального пользователя с точностью до имени процесса, участвующего в соединении: данная информация особенно актуальна в случае использования в организации терминальных RDP серверов.
Общая схема работы службы EtherSensor Identity:
Рис.19. Схема работы службы EtherSensor Identity
Файл конфигурации EtherSensor Identity
Конфигурация службы EtherSensor Identity содержится в XML-файле identity.xml, расположенном в общей директории конфигураций [INSTALLDIR]\config
Параметры командной строки
Служба Windows EtherSensor Identity в ходе инсталляции Microolap EtherSensor устанавливается с автоматическим запуском. Однако, при необходимости процесс sensor_identity.exe можно запустить как приложение Windows со следующими параметрами командной строки:
/process
Запустить процесс sensor_pcap.exe как обычный Windows Win32-процесс (возможно использование для отладки).
/service
Запустить как службу Windows.
/config
Сохранить конфигурацию службы по умолчанию.