Troubleshooting: come utilizzare Osquery e Nmap in ConnectSecure

Troubleshooting: come utilizzare Osquery e Nmap in ConnectSecure

Osquery e Nmap sono due strumenti comunemente utilizzati per le attività di troubleshooting di base all’interno di ConnectSecure. Essi coprono due aree distinte:

    • Osquery: permette di forzare l’aggiornamento delle informazioni sui software rilevati dal Lightweight Agent installato sui device.
    • Nmap: consente di verificare la comunicazione e la raggiungibilità tra i sistemi dell’infrastruttura.

Osquery

Prerequisito

    • Accesso amministrativo a PowerShell sul dispositivo da analizzare.

Come utilizzare Osquery

Durante l’installazione del CyberCNS Lightweight Agent viene creata una cartella contenente il file eseguibile osqueryi.exe, al percorso:

    • C:\Program Files (x86)\CyberCNSAgent


Introduzione

  • Aprire PowerShell come Amministratori.
  • Utilizzare i seguenti comandi:

      • cd “C:\Program Files (x86)\CyberCNSAgent”
      • .\osqueryi.exe
      • select * from programs where name like ‘%XXXXX%’;

NOTA: sostituire XXXXX con il nome (o parte del nome) dell’applicazione che si desidera cercare.

Esempio: Programmi

select * from programs where name like ‘%edge%’ ;

Come output in caso positivo si riceverà la seguente schermata:


Output atteso

In caso di corrispondenza, Osquery restituirà una tabella contenente tutte le applicazioni che includono “Edge” nel nome.

Tra le informazioni tipiche che appariranno:

    • Nome applicazione
    • Versione
    • Percorso di installazione
    • Fonte dell’installazione
    • Lingua
    • Publisher
    • Stringa di disinstallazione
    • Data di installazione
    • Identificativo (UUID o simili)

Questo permette di verificare in modo puntuale quali software sono installati sul dispositivo e assicura che il Lightweight Agent riporti correttamente le informazioni.

Inoltre, OSquery si può utilizzare per validare un “Unquoted Service Path”.

Esempio: Unquoted Service Path

NOTA: Se l’asset è scansionato sia tramite Probe che litghweith Agent.

    • Step 1: Aprire Powershell come amministratore
    • Step 2: cd “C:\Windows\CyberCNSAgent”
    • Step 3: .\osqueryi.exe
    • Step 4: Run the below command:

select name,service_type,display_name,start_type,regex_split(regex_split(regex_split(LOWER(path), ‘ –‘, 0),’.exe ‘,0),’ /s’,0) as path,sha1(name||path) as unique_id from services where (regex_split(regex_split(regex_split(LOWER(path), ‘ –‘, 0),’.exe ‘,0),’ /s’,0) not like ‘\”%\”%’ and regex_split(regex_split(regex_split(LOWER(path), ‘ –‘, 0),’.exe ‘,0),’ /s’,0) not like ‘\”%\”‘ and regex_split(regex_split(regex_split(LOWER(path), ‘ –‘, 0),’.exe ‘,0),’ /s’,0) like ‘% %’) and regex_split(regex_split(regex_split(LOWER(path), ‘ –‘, 0),’.exe ‘,0),’ /s’,0) not like ‘c:\\Windows%’ and start_type = ‘AUTO_START’ and name not like ‘%cybercnsagent%’ AND path NOT LIKE ‘%.sys’ AND path NOT LIKE ‘\\??\\%’ group by unique_id;

Nmap – Troubleshooting degli Scan

Se Nmap non rileva alcun asset durante lo scan, seguire i passaggi riportati di seguito per eseguire un controllo diagnostico manuale dal dispositivo su cui è installato l’Agent CyberCNS.

Passaggi per il Troubleshooting

    • Aprire il Prompt dei comandi come Amministratore
    • Assicurarsi di eseguire il Command Prompt con privilegi elevati.
    • Spostarsi nella cartella di Nmap del CyberCNS Agent
    • cd “C:\Program Files (x86)\CyberCNSAgent\nmap”
    • Eseguire il comando Nmap manualmente (utilizzare il seguente comando, copiandolo interamente):

.\nmap.exe –privileged -sV -T3 –min-parallelism 100 –max-parallelism 255 -script-timeout 1500000ms –top-ports 3000 -Pn –host-timeout 1900000ms –max-hostgroup 64 –min-hostgroup 30 –max-retries 2 –max-rtt-timeout 200000ms –exclude-ports 9100-9120,515,6101,631,59100,10001,9400,9500,9999,1058,721-731,1023,2000,2501,2503,3001,6869 –script auth,vuln,discovery,safe,ssl* <targetIP-range>

NOTA: sostituire <targetIP-range> con l’intervallo IP effettivo che si desidera scansionare.

Esempio di comando completo

.\nmap.exe –privileged -sV -T3 –min-parallelism 100 –max-parallelism 255 -script-timeout 1500000ms –top-ports 3000 -Pn –host-timeout 1900000ms –max-hostgroup 64 –min-hostgroup 30 –max-retries 2 –max-rtt-timeout 200000ms –exclude-ports 9100-9120,515,6101,631,59100,10001,9400,9500,9999,1058,721-731,1023,2000,2501,2503,3001,6869 –script auth,vuln,discovery,safe,ssl* 192.168.1.1/24




    • Related Articles

    • Probe vs Lightweight Agent

      La fase di Discovery è da considerarsi come fase di supervisione della rete e per la scansione dei dispositivi di rete su cui non è possibile installare agent LW , ad esmpio stampanti/switch, la scansione potrebbe essere inficiata da diversi fattori ...

    • FAQ ConnectSecure

      FAQ ConnectSecure 28. Aprile 2025 1. Che prodotto utilizza ConnectSecure per effettuare gli scan? È proprietario o di terze parti (es. Nmap, Nikto, ecc.)? ConnectSecure utilizza un motore proprietario per lo scanning esterno (active port scan su IP ...

    • Il probe di ConnectSecure non rileva asset

      Il probe di ConnectSecure non rileva asset 8. Maggio 2025 Questa guida fornisce i passaggi per la risoluzione dei problemi quando il probe non rileva correttamente gli asset di rete. Prerequisiti: autorizzazione a intervenire su driver Npcap; accesso ...

    • Come forzare l’aggiornamento degli agent in ConnectSecure

      Come forzare l’aggiornamento degli agent in ConnectSecure 26. Maggio 2025 Scopo di questa guida è fornire le istruzioni per forzare l’aggiornamento degli agent di ConnectSecure, quando l’aggiornamento automatico o l’aggiornamento manuale da ...

    • Come verificare la bontà di un asset ai fini della fatturazione mensile su ConnectSecure?

      Come verificare la bontà di un asset ai fini della fatturazione mensile su ConnectSecure? 27. Marzo 2025 Obiettivo Scopo di questa guida è fornire all’utente tutte le informazioni per tenere sotto controllo il totale degli asset gestiti per non ...