<div dir="ltr"><div><div><div>A possible solution is scripting a network wide NMAP scan and using -sV to grab banners.  That would give a general understanding of what the devices on your network are, and what they are doing. <br><br></div>This will leave a pretty large footprint and generate a fair amount of traffic depending on the number of devices out there though and assumes that the IOT device is not running some sort of firewall. <br><br></div>Some of the NMAP plugins might give further information as well, and the -O "OS fingerprinting" plugin can give some interesting information, but is not 100% accurate.  <br></div><div><br></div><div>A better long term solution would be to have a central syslog server that you can get your network equipment to log to, to determine when new devices are deployed on the network.  <br></div><div><br></div>David Sussens.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 12, 2018 at 8:49 PM, Rildo Souza <span dir="ltr"><<a href="mailto:rildo.souza@rnp.br" target="_blank">rildo.souza@rnp.br</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello people,<br>
<br>
I would like to know if anybody has information how is possible to identify IoT devices at my network.<br>
<br>
Someone know any plugin or rule to identify ? <br>
<br>
Best Regards, <br>
<br>
Rildo Antonio de Souza<br>
Analista de Segurança<br>
Centro de Atendimento a Incidentes de Segurança - CAIS<br>
Rede Nacional de Ensino e Pesquisa - RNP<br>
(19) 3787-3368 - <a href="http://www.rnp.br/cais" rel="noreferrer" target="_blank">http://www.rnp.br/cais</a><br>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/<wbr>training/</a></blockquote></div><br></div>