Geräte

Wenn Sie auf einen Gerätenamen klicken, können Sie alle Informationen, die das ExtraHop-System über das Gerät ermittelt hat, auf der Seite Geräteübersicht einsehen. Die Seite „Geräteübersicht" ist in drei Abschnitte unterteilt: eine Zusammenfassung auf oberster Ebene, einen Eigenschaftenbereich und einen Aktivitätsbereich.

https://example-eda/extrahop/#/metrics/devices//0026b94c03810000/overview/&tab=detections

Metriken sind Echtzeitmessungen Ihres Netzwerkverkehrs, die das ExtraHop-System aus Netzwerk- oder Flussdaten berechnet. Aus dem Geräteverkehr gesammelte Messwerte können in integrierten Diagrammen und Grafiken auf einer Geräteseite angezeigt werden.

Klicken Sie im linken Bereich auf eine integrierte Metrikseite, um die oberste Ebene anzuzeigen Gerätemetriken oder Client und Server Metriken nach Protokoll. Klicken Sie auf ein Diagramm, um Detailseiten mit Metriken aufrufen, die Metrikwerte für einen bestimmten Schlüssel (z. B. eine Client- oder Server-IP-Adresse) anzeigen.

Zusätzlich zu den integrierten Netzwerk- und TCP-Seiten zeigen Geräte integrierte Metrikseiten für zugehörige Cloud-Dienste an, sofern Daten verfügbar sind. Sehen Sie die Referenz zu Protokollmetriken für weitere Informationen darüber, welche Daten auf den integrierten Geräteseiten verfügbar sind.

Das ExtraHop-System bietet Tausende von integrierten Metriken. Hier sind einige Möglichkeiten, wie Sie weitere Einblicke in Ihre Geräte gewinnen können

• Erstellen Sie ein Diagramm um bestimmte Kennzahlen zu visualisieren und das Diagramm in einem Dashboard zu speichern.
• Erstellen Sie eine Aktivitätsdiagramm um die Beziehungen zwischen Peer-Geräten über bestimmte Protokolle hinweg anzuzeigen.
• Schreiben Sie einen Auslöser erstellen benutzerdefinierte Metriken oder erstelle eine Anwendung Container zum Sammeln von Metriken für bestimmte Geräte.

Geben Sie eine IP-Adresse in das globale Suchfeld ein oder klicken Sie auf einer Seite mit der Geräteübersicht auf einen IP-Adress-Link, um Details zu einer IP-Adresse anzuzeigen.

Die folgenden Informationen werden für eine IP-Adresse angezeigt, die auf einem Gerät angezeigt wird:

• Jedes Gerät, auf dem die IP-Adresse derzeit beobachtet wird, unabhängig vom ausgewählten Zeitintervall.
• Jedes Gerät, bei dem die IP-Adresse zuvor innerhalb des ausgewählten Zeitintervalls beobachtet wurde, einschließlich des Zeitstempel, ab dem die IP-Adresse zuletzt auf dem Gerät gesehen wurde.

Wenn L2-Entdeckung aktiviert ist, können sowohl IPv4- als auch IPv6-Adressen gleichzeitig auf dem Gerät beobachtet werden, oder es können dem Gerät im Laufe der Zeit unterschiedliche IP-Adressen von DHCP zugewiesen werden.

Die folgenden Informationen werden für eine IP-Adresse angezeigt, die einem Gerät zugeordnet ist:

• Die Geolokalisierung der IP-Adresse und Links zur ARIN Whois-Website.
• Jedes Gerät, bei dem die zugehörige IP-Adresse zu einem beliebigen Zeitpunkt während des ausgewählten Zeitintervalls außerhalb des Netzwerk gesehen wurde. Beispielsweise kann ein VPN-Client in Ihrem Netzwerk mit einer externen IP-Adresse im öffentlichen Internet verknüpft sein.
• Alle Cloud-Dienste, die mit der IP-Adresse verknüpft sind.
• Die IP-Adresse des Gerät, wie sie vom ExtraHop-System in Ihrem Netzwerk gesehen wird.
• Der Zeitstempel, zu dem die zugehörige IP-Adresse zuletzt auf dem Gerät gesehen wurde.

Hier sind einige Möglichkeiten, wie Sie zusätzliche IP-Adresse und Geräteinformationen anzeigen können:

• Zeigen Sie mit der Maus auf einen Gerätenamen, um die Geräteeigenschaften anzuzeigen.
• Klicken Sie auf einen Gerätenamen, um die Seite mit der Geräteübersicht anzeigen.
• klicken Suche nach Datensätzen um eine zu starten Datensatzabfrage das wird nach der IP gefiltert .
• klicken Suche nach Paketen um eine zu starten Paketabfrage das wird von diesem Gerät gefiltert.

Mit benutzerdefinierten Geräten können Sie Messwerte für Geräte erfassen, die sich außerhalb Ihres lokalen Netzwerk befinden, oder wenn Sie über eine Gruppe von Geräten verfügen, für die Sie Messwerte zu einem einzigen Gerät zusammenfassen möchten. Bei diesen Geräten kann es sich sogar um unterschiedliche physische Schnittstellen handeln, die sich auf demselben Gerät befinden. Wenn Sie die Messwerte für diese Schnittstellen zusammenfassen, können Sie leichter nachvollziehen, wie stark Ihre physischen Ressourcen insgesamt belastet sind, und nicht anhand der einzelnen Schnittstellen.

Du könntest ein benutzerdefiniertes Gerät erstellen um einzelne Geräte außerhalb Ihrer lokalen Broadcast-Domain zu verfolgen oder Metriken über mehrere bekannte IP-Adressen oder CIDR-Blöcke von einem entfernten Standort oder Cloud-Dienst aus zu sammeln. Du kannst Erfassen Sie Metriken von Remote-Standorten für benutzerdefinierte Geräte um zu erfahren, wie Dienste an entfernten Standorten genutzt werden, und um Einblick in den Verkehr zwischen entfernten Standorten und einem Rechenzentrum zu erhalten. Sehen Sie die Referenz zu Protokollmetriken für eine vollständige Liste der Metriken und Beschreibungen von Remote-Standorten.

Nachdem Sie ein benutzerdefiniertes Gerät erstellt haben, werden alle mit den IP-Adressen und Ports verknüpften Messwerte zu einem einzigen Gerät zusammengefasst, das L2-L7-Metriken erfasst. Ein einzelnes benutzerdefiniertes Gerät zählt als ein Gerät auf Ihre lizenzierte Kapazität für Erweiterte Analyse oder Standardanalyse, was es Ihnen ermöglicht ein benutzerdefiniertes Gerät zur Beobachtungsliste hinzufügen. Alle Auslöser oder Warnungen werden dem benutzerdefinierten Gerät ebenfalls als einzelnes Gerät zugewiesen.

Benutzerdefinierte Geräte aggregieren zwar Metriken auf der Grundlage ihrer definierten Kriterien, aber die Metrikberechnungen werden nicht genauso behandelt wie für erkannte Geräte. Angenommen, Sie haben einem benutzerdefinierten Gerät einen Auslöser zugewiesen, das Datensätze in einen Recordstore überträgt. Das benutzerdefinierte Gerät wird jedoch in keinem Transaktionsdatensatz als Client oder Server angezeigt. Das ExtraHop-System füllt diese Attribute mit dem Gerät, das der Konversation auf der Leitung entspricht.

Benutzerdefinierte Geräte können sich auf die Gesamtleistung des Systems auswirken. Daher sollten Sie die folgenden Konfigurationen vermeiden:

• Vermeiden Sie es, mehrere benutzerdefinierte Geräte für dieselben IP-Adressen oder Ports zu erstellen. Benutzerdefinierte Geräte , die mit sich überschneidenden Kriterien konfiguriert sind, können die Systemleistung beeinträchtigen.
• Vermeiden Sie es, ein benutzerdefiniertes Gerät für eine Vielzahl von IP-Adressen oder Ports zu erstellen, da dies die Systemleistung beeinträchtigen könnte.

Wenn eine große Anzahl von benutzerdefinierten Geräten die Leistung Ihres Systems beeinträchtigt, können Sie ein benutzerdefiniertes Gerät löschen oder deaktivieren. Die eindeutige Discovery-ID für das benutzerdefinierte Gerät verbleibt immer im System. siehe Erstellen Sie ein benutzerdefiniertes Gerät zur Überwachung des Datenverkehrs in entfernten Büros um sich mit kundenspezifischen Geräten vertraut zu machen.

Eine Gerätegruppe ist eine benutzerdefinierte Sammlung, mit der Sie Messwerte für mehrere Geräte verfolgen können, die normalerweise nach gemeinsamen Attributen wie Protokollaktivitäten gruppiert sind.

Du kannst eine statische Gerätegruppe erstellen das erfordert, dass Sie manuell ein Gerät zur Gruppe hinzufügen oder daraus entfernen. Oder du kannst eine dynamische Gerätegruppe erstellen das beinhaltet Kriterien, die bestimmen, welche Geräte automatisch in die Gruppe aufgenommen werden. Sie können zum Beispiel Erstellen Sie eine dynamische Gerätegruppe basierend auf der Geräteerkennungszeit das fügt Geräte hinzu , die während eines bestimmten Zeitintervalls entdeckt wurden.

Standardmäßig enthält die Gerätegruppenseite die folgenden dynamischen Gerätegruppen, die Sie überschreiben oder löschen können:

Neue Geräte (letzte 24 Stunden)

Beinhaltet Ressourcen und Endpunkte, die das ExtraHop-System in den letzten 24 Stunden zum ersten Mal erkannt hat.

Neue Geräte (letzte 7 Tage)

Beinhaltet Ressourcen und Endpunkte, die das ExtraHop-System in den letzten 7 Tagen zum ersten Mal erkannt hat.

Das ExtraHop-System umfasst auch integrierte dynamische Gerätegruppen nach Rolle und Protokoll. Sie können integrierte Gerätegruppen als Metrikquelle für Objekte wie Diagramme, Benachrichtigungen, Auslöser und Aktivitätskarten zuweisen. Sie können eine integrierte Gerätegruppe nicht überschreiben oder löschen, aber Sie können Filterkriterien hinzufügen und sie als neue Gerätegruppe speichern.

Klicken Sie auf der Seite Geräte auf eine Geräteanzahl für eine Rolle oder ein Protokoll, z. B. Domänencontroller oder CIFS-Clients, um die Seite Gerätegruppenübersicht aufzurufen. Wenn Sie oben auf der Seite auf den Filter klicken, können Sie zusätzliche Kriterien hinzufügen und die Seitendaten bei Bedarf aktualisieren, anstatt eine Gerätegruppe erstellen zu müssen.

Die Erfassung von Metriken mit Gerätegruppen hat keine Auswirkungen auf die Leistung. Wir empfehlen Ihnen jedoch, priorisieren Sie diese Gruppen durch ihre Bedeutung, sicherzustellen, dass die richtigen Geräte den höchsten Analysegrad erhalten.

Gerätegruppen sind eine gute Wahl, wenn Sie Geräte haben, die Sie gemeinsam als Quelle verwenden möchten. Sie könnten beispielsweise Messwerte für all Ihre Produktionswebserver mit hoher Priorität in einem Dashboard sammeln und anzeigen.

Durch das Erstellen einer Gerätegruppe können Sie all diese Geräte als eine einzige Metrik Quelle verwalten, anstatt sie als einzelne Quellen zu Ihren Diagrammen hinzuzufügen. Beachten Sie jedoch, dass alle zugewiesenen Auslöser oder Benachrichtigungen jedem Gruppenmitglied (oder einzelnen Gerät) zugewiesen werden.

Das ExtraHop-System erkennt Gerätenamen durch passive Überwachung von Benennungsprotokollen wie DNS, DHCP, NETBIOS und Cisco Discovery Protocol (CDP).

Wenn ein Name nicht über ein Benennungsprotokoll ermittelt wird, wird der Standardname aus Geräteattributen wie MAC-Adressen und IP-Adressen abgeleitet. Für einige Geräte, die auf Fluss entdeckt wurden Sensoren, weist das ExtraHop-System Namen basierend auf der Rolle des Gerät zu, z. B. Internet Gateway oder Amazon DNS Server. Du kannst auch einen benutzerdefinierten Namen erstellen oder einen Cloud-Instanznamen festlegen für ein Gerät.

Ein Gerät kann anhand mehrerer Namen identifiziert werden, die auf der Seite Geräteübersicht als Bekannte Aliase angezeigt werden. Wenn ein Gerät mehrere Namen hat, Die Reihenfolge der Anzeigepriorität ist in den Administrationseinstellungen festgelegt. Sie können nach einem beliebigen Namen suchen, um finde ein Gerät.

Wenn ein Gerätename keinen Hostnamen enthält, hat das ExtraHop-System noch keinen mit diesem Gerät verbundenen Verkehr mit dem Namensprotokoll beobachtet. Das ExtraHop-System führt keine DNS-Suchen nach Gerätenamen durch.

Je nach Art des Datenverkehrs, der dem Gerät oder dem Gerätemodell zugeordnet ist, weist das ExtraHop-System dem Gerät automatisch eine Rolle zu, z. B. ein Gateway, einen Server, eine Datenbank oder einen Load Balancer. Die Rolle „Andere" wird Geräten zugewiesen, die nicht identifiziert werden können.

Einem Gerät kann jeweils nur eine Rolle zugewiesen werden. Sie können manuell eine Geräterolle ändern, oder das ExtraHop-System weist möglicherweise eine andere Rolle zu, wenn beobachtete Traffic- und Verhaltensänderungen beobachtet werden. Wenn beispielsweise ein PC in einen Server umfunktioniert wurde, können Sie die Rolle sofort ändern, oder die Änderung wird im Laufe der Zeit beobachtet und die Rolle wird vom System aktualisiert.

Das ExtraHop-System identifiziert die folgenden Rollen:

Ikone	Rolle	Beschreibung
	Benutzerdefiniertes Gerät	Ein vom Benutzer erstelltes Gerät, das Metriken auf der Grundlage bestimmter Kriterien erfasst. Das ExtraHop-System weist diese Rolle automatisch zu, wenn Sie ein benutzerdefiniertes Gerät erstellen. Die benutzerdefinierte Rolle kann einem Gerät nicht manuell zugewiesen werden.
	Angriffssimulator	Ein Gerät, auf dem Software zur Breach- und Angriffssimulation (BAS) ausgeführt wird, um Angriffe in einem Netzwerk zu simulieren.
	Datenbank	Ein Gerät, das hauptsächlich eine Datenbankinstanz hostet.
	DHCP-Server	Ein Gerät, das hauptsächlich DHCP-Serveraktivitäten verarbeitet.
	DNS-Server	Ein Gerät, das hauptsächlich DNS-Serveraktivitäten verarbeitet.
	Domänencontroller	Ein Gerät, das als Domänencontroller für Kerberos-, CIFS- und MSRPC-Serveraktivitäten fungiert.
	Dateiserver	Ein Gerät, das auf Lese- und Schreibanforderungen für Dateien über NFS - und CIFS/SMB-Protokolle reagiert.
	Brandmauer	Ein Gerät, das den eingehenden und ausgehenden Netzwerkverkehr überwacht und den Datenverkehr gemäß den Sicherheitsregeln blockiert. Das ExtraHop-System weist Geräten diese Rolle nicht automatisch zu.
	Tor	Ein Gerät, das als Router oder Gateway fungiert. Das ExtraHop-System sucht bei der Identifizierung von Gateways nach Geräten, denen eine große Anzahl an eindeutigen IP-Adressen zugeordnet ist (ab einem bestimmten Schwellenwert). Gateway-Gerätenamen enthalten den Routernamen wie Cisco B1B500. Im Gegensatz zu anderen L2-Elterngeräte , du kannst ein Gateway-Gerät zur Beobachtungsliste hinzufügen für erweiterte Analysen.
	IP-Kamera	Ein Gerät, das Bild- und Videodaten über das Netzwerk sendet. Das ExtraHop-System weist diese Rolle basierend auf dem Gerätemodell zu.
	Load Balancer	Ein Gerät, das als Reverse-Proxy für die Verteilung des Datenverkehrs auf mehrere Server fungiert.
	Medizinisches Gerät	Ein Gerät, das für Gesundheitsbedürfnisse und medizinische Umgebungen entwickelt wurde. Das ExtraHop-System weist diese Rolle möglicherweise zu, wenn es sich bei einem Gerät um eine bekannte medizinische Marke und ein bekanntes medizinisches Modell handelt oder wenn das Gerät DICOM-Verkehr verarbeitet.
	Mobilgerät	Ein Gerät, auf dem ein mobiles Betriebssystem installiert ist, z. B. iOS oder Android.
	NAT-Schnittstelle	Ein Gerät, das als Network Address Translation (NAT) -Gateway fungiert. Das ExtraHop-System weist diese Rolle möglicherweise zu, wenn ein Gerät mit vier oder mehr Betriebssystem-Fingerabdruckfamilien oder mit vier oder mehr Hardware- oder Herstellermarken und -modellen verknüpft ist. Nachdem einem Gerät diese Rolle zugewiesen wurde, werden Geräteeigenschaften für Software, Hardwaremarke und -modell sowie authentifizierte Benutzer nicht mehr für das Gerät angezeigt.
	PC	Ein Gerät wie ein Laptop, ein Desktop, eine Windows-VM oder ein macOS-Gerät, das DNS-, HTTP- und SSL-Clientdatenverkehr verarbeitet.
	Drucker	Ein Gerät, mit dem Benutzer Text und Grafiken von anderen angeschlossenen Geräten drucken können. Das ExtraHop-System weist diese Rolle auf der Grundlage des Gerätemodells oder des über mDNS beobachteten Datenverkehrs (Multicast-DNS) zu.
	VoIP-Telefon	Ein Gerät, das Voice over IP (VoIP) -Telefonanrufe verwaltet.
	VPN-Client	Ein internes Gerät, das mit einer Remote-IP-Adresse kommuniziert. Wenn VPN-Client-Erkennung ist aktiviert, weist das ExtraHop-System diese Rolle automatisch internen Geräten zu, die über ein VPN-Gateway mit Remote-IP-Adressen kommunizieren. Sie können einem Gerät die VPN-Client-Rolle nicht manuell zuweisen.
	VPN-Gateway	Ein Gerät, das zwei oder mehr VPN-Geräte oder Netzwerke miteinander verbindet , um Remoteverbindungen zu überbrücken. Das ExtraHop-System weist diese Rolle Geräten mit einer großen Anzahl von externen VPN-Peers zu, wenn die automatische Klassifizierung für diese Rolle in der laufenden Konfigurationsdatei aktiviert ist.
	Schwachstellen-Scanner	Ein Gerät, auf dem Programme zum Schwachstellenscanner ausgeführt werden.
	Web-Proxyserver	Ein Gerät, das HTTP-Anfragen zwischen einem Gerät und einem anderen Server verarbeitet.
	Webserver	Ein Gerät, das hauptsächlich Webressourcen hostet und auf HTTP-Anfragen reagiert.
	Wi-Fi-Zugangspunkt	Ein Gerät, das ein drahtloses lokales Netzwerk erstellt und ein drahtloses Netzwerksignal in einen bestimmten Bereich projiziert. Das ExtraHop-System weist diese Rolle basierend auf dem Gerätemodell zu.