B.2 PlateSpin Reconのデータ収集方法

PlateSpin Reconのデータ収集には、3つの重要な段階があります。

B.2.1 検出

ドメイン検出: PlateSpin Reconでは、LDAPを介してWindows Active Directoryを使用し、特定ドメインのマシンリストにあるネットワークをスキャンします。デフォルトではオンラインマシンのみが含まれますが、オフラインマシンを含むようにするためのオプションもあります。

部門(OU)フィルタも指定でき、検出時にPlateSpin Reconがポーリングするドメイン領域を絞り込むことができます。 部門は、コンピュータがセグメント化のために常駐できるドメイン内のコンテナです。たとえば、各部門に対してOUコンテナが設定されているドメインの場合、特定部門にあるマシンのみをドメイン内で検索するようPlateSpin Reconに指示することができます。

PlateSpin Reconでは、検出中にOUフィルタのみを使います。この方法で検出されるマシンは、以前のOUコンテナからマシンが移動されても、インベントリ中および監視中に影響を受けることはありません。部門がドメインで使用されている場合、そのような部門についての詳細はシステム管理者に確認してください。

サブネット、IP範囲のスキャン: PlateSpin Reconでは、サブネットまたはIP範囲内にある各マシンに対してpingします。応答があった場合、検出されたマシンであると見なされます。

もう1つのオプションは、TCP、UDP、または両方を介したポートスキャンです。PlateSpin Reconでは、ポートに接続しようとし、使用されているポートを記録します。このオプションは、攻撃としてネットワークセキュリティによって認識される場合があるため、使用に注意が必要です。

B.2.2 インベントリ

Linux、Solaris、およびESX 2.x

  • PlateSpin Reconがgetplatformスクリプトを送信すると、今度はこのスクリプトが、インベントリ中のマシンのアーキテクチャとglibcバージョンを返します。

  • getplatformに基づいて、PlateSpin ReconではSCPプロトコルを使用して、プラットフォームごとのインベントリバイナリとライブラリを、インベントリ中のマシンの/tmpディレクトリに転送します。

  • sshを介し、Plate Spin Reconでは、stdinにわたるコマンドファイルをストリーミングするバイナリを実行します。

  • マシンXMLがstdout上でストリーミングされる間、インベントリされたマシンからPlateSpin Reconサーバにログと進行状況ファイルが、stderrを使用してストリーミングして返されます。

ESX 3.xおよびVirtual Center

  • PlateSpin Reconでは、PlateSpin Reconサーバ上でローカルに実行ファイルを実行します。

  • この実行ファイルでは、必要なインベントリデータを提供するESX 3またはVirtual Center Webサービスにアクセスします。

Microsoft Windowsインベントリ

  • Windowsマシンをインベントリする場合、WMIがそのマシンにインストールされ、実行していることを確認する必要があります。Windows NTに対しては、WMIコンポーネントを手動でインストールしなければなりません。Windows NT用のWMIのダウンロードとインストールに関する詳細については、MicrosoftダウンロードセンターのWindows Management Instrumentation (WMI) CORE 1.5 (Windows NT 4.0)を参照してください。

    PlateSpin Reconでは、ターゲットWindowsマシンとの接続を確立したり、ターゲットマシンでインベントリ実行ファイルを実行したりするために、WMIをデフォルトで使用します。WMIが失敗した場合、PlateSpin Reconではリモートサービスをフェイルオーバーとして使用します。ターゲットマシンのWMIではなくリモートサービスを常に使用するようPlateSpin Reconを構成するには、次の操作を実行します:

    1. PlateSpin Reconクライアントで、[Tools]メニューをクリックします。

    2. <Ctrl>キーを押しながら[Options]をクリックします。

      [Options]ダイアログボックスの[Server]ページが、デフォルトで表示されます。

    3. Inventory]カテゴリで、[Advanced]の隣にあるプラス記号(+)をクリックします。

    4. Install Remote Service]の値を「True」に変更します。

    5. OK]をクリックします。

    PlateSpin Reconでは、インベントリ実行ファイルを、ターゲットマシンのADMIN$共有にコピーします。

B.2.3 監視

PlateSpin Reconの監視プロセスを理解するには、次の節を確認してください:

Linux、Solaris、AIX、およびESX 2.x

  • PlateSpin Reconでは、インベントリ中のマシンにスクリプト(lininfo.shlininfo/sh、solinfo.shaixinfo.sh、またはesxinfo.sh)を送信します。

  • このスクリプトはsshを通じて実行します。

  • sshサーバは、監視が機能するよう使用可能に設定する必要があります。

  • ログは、stderrにわたってPlateSpin Reconサーバにストリーミングして返されます。

  • パフォーマンスデータは、stdoutにわたってストリーミングして返されます。

ESX 3.xおよびVirtual Center

  • PlateSpin Reconでは、必要なパフォーマンスデータを提供するESX 3またはVirtual Center Webサービスを呼び出します。

Microsoft Windows

  • PlateSpin Reconでは、パフォーマンスデータを取得するためにWindowsパフォーマンスカウンタAPIを使用します。WMIは使用されません。

  • リモートレジストリサービスは、Windowsの監視が機能するよう使用可能に設定する必要があります。