La fase di Discovery è da considerarsi come fase di supervisione della rete e per la scansione dei dispositivi di rete su cui non è possibile installare agent LW , ad esmpio stampanti/switch, la scansione potrebbe essere inficiata da diversi fattori quali ad esempio:
- Credenziali non corrette inserite nella fase di mapping
- Antivirus/EDR installati sul asset che bloccano connessioni
- porte aperte del protocollo (445/139 per windows, 22 per Mac/Linux)
- IDR/IPS che bloccano traffico del probe
Il rischio è di avere diversi asset scansionati con nmap e quindi con poche informazioni (hostname, MAC, porte aperte, vulnerabilità di rete).
Per questo motivo è da considerarsi come best practice che su ogni asset sia installato un Lightweight Agent in merito a questo ti suggerisco queste KB che offrono informazioni utili sulle diverse opportunità di installazione :
- https://cybercns.atlassian.net/wiki/spaces/CVB/pages/2390130884/How+To+Install+V4+Agent
- https://cybercns.atlassian.net/wiki/spaces/CVB/pages/2158264321/How+To+Install+ConnectSecure+Agent+MSI+via+GPO
- https://cybercns.atlassian.net/wiki/spaces/CVB/pages/2111242438/How+To+Install+V4+Agent+Using+RMM+Script
Inoltre aggiungo queste KB relative all’ installazione e funzionamento del Probe: