Agent Client Collector for Visibility verificações e políticas padrão

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Agent Client Collector for Visibility fornece várias verificações e políticas, bem como uma regra de negócios.

    Política

    Há quatro políticas para o ACC-V: Enhanced Discovery, Windows SAM Discovery, Windows SAM backgrounde Software installed.
    Nota:
    As políticas ACC-V são executadas em uma frequência de uma vez por dia. O total de dados ingeridos seria de aproximadamente 572 KB. Isso leva em consideração uma média de aproximadamente 1.500 aplicativos de software instalados e aproximadamente 500 processos em execução, além de dados de IC por máquina.
    Política de descoberta aprimorada
    Esta política é executada fora de uma programação, que tem como padrão 24 horas (86400 segundos). O intervalo de política pode ser ajustado, por exemplo, para ser executado a cada 4 horas (defina o intervalo como 14400). A configuração da política ACC-V é sincronizada com todos os agentes com base no filtro de política definido pelo ACC-V. Atualize as seguintes propriedades do sistema ACC-F, se necessário:
    • [sn_agent.disco_minimum_threshold_for_rediscovery_minutes]: para evitar a descoberta do sistema com muita frequência.
    • [sn_agent.disco_disable_ci_clobber_of_agentless_disco]: para evitar Descoberta conflitos.
    • [sn_agent.disco_ci_clobber_of_agentless_disco_threshold_days]: para evitar Descoberta conflitos.
    Windows Política de descoberta do SAM
    Esta política é responsável por capturar o software instalado em qualquer dispositivo de endpoint Windows, como Windows desktops ou Linux e Windows servidores.
    Windows Política em segundo plano do SAM
    Esta política permite um trabalho em segundo plano para processar os logs do Osqueryd para SAM em dispositivos de endpoint Windows.
    Política de software instalado
    Esta política é responsável por capturar o software instalado em todos os dispositivos, exceto em dispositivos de endpoint Windows. Os dados coletados são armazenados na tabela [cmdb_sam_sw_install]. A política de software instalado está programada para ser executada a cada 24 horas.
    Nota:
    Windows dispositivos de endpoint incluem dispositivos que têm um sistema operacional Windows e pertencem à classe computador.

    Consulte Propriedades do sistema para obter mais detalhes. Para obter mais detalhes sobre políticas, consulte Verificações e políticas.

    Tipo de verificação

    O ACC-V tem três tipos de verificação: EnhancedDiscovery, SAM Advanced Discoverye Installed Software.
    EnhancedDiscovery
    Este tipo de verificação é responsável por invocar a inclusão de script EnhancedDiscoveryHandler que processa a carga útil produzida por endpoint_discovery.rb conforme executado pelo ACC.
    SAM Advanced Discovery
    Este tipo de verificação é para a política Windows SAM Discovery que invoca a inclusão de script EnhancedDiscoveryHandler para processar os dados SAM produzidos pelo arquivo sam_advanced.rb.
    Installed Software
    Este tipo de verificação para Software installed policy que invoca o script EnhancedDiscoveryHandler inclui para processar os dados do software instalado produzidos pelo arquivo install_software.rb.

    Verificar definição

    Há quatro definições de verificação que são usadas pelas quatro políticas de ACC-V.
    Descoberta aprimorada
    Esta configuração de política é sincronizada com todos os agentes com base no filtro de política definido pelo ACC-V. A definição de verificação está configurada para ser executada com determinados ativos e determina o que é sincronizado entre o agente e o MID Server. Para obter mais detalhes sobre políticas, consulte Verificações e políticas.
    Nota:
    Para que o agente recupere os números de série do SO e as conexões TCP junto com os processos em execução associados, o acesso sudo para "dmidecode" e "ss" é necessário nos sistemas Linux. Por exemplo, este conteúdo pode ser adicionado a /etc/sudoers ou a um arquivo individual em /etc/sudoers.d/: 
    Cmnd_Alias AGENT_ACC_V = /usr/sbin/dmidecode,/usr/sbin/ss
servicenow ALL=(root) NOPASSWD:AGENT_ACC_V
    Windows – Verificação de log em segundo plano do SAM
    O log de definição de verificação é executado a cada 8 minutos e executa a agregação em linha de dados gerados a partir de logs do Osqueryd. Depois de coletar os dados, ele grava todos os resultados de dados intermediários em um arquivo de marcador temporário que é reutilizado na próxima execução. Essa reutilização limita o número de arquivos de log e o espaço em disco necessários nos sistemas de destino.
    Nota:
    Você pode observar um pico no consumo de recursos do sistema, pois a verificação de agregação em segundo plano é executada em todos os intervalos.
    Windows – Instalações de software e métricas de uso

    Esta definição de verificação coleta os dados a cada 24 horas.

    Software instalado
    Esta definição de verificação busca dados de software instalado para todos os dispositivos que não sejam Windows dispositivos de endpoint.

    Regra de negócios

    A regra de negócios Enhanced Discovery – On CI Delete aciona a Verificação de descoberta de endpoint quando o IC associado a um determinado IC é excluído de sn_agent_cmdb_ci_agent.