AWS Managed Microsoft AD

AWS Managed Microsoft AD是Amazon Web Services提供的基于云的活动目录服务。您可以配置AWS Managed Microsoft AD，将LDAP数据发送到InsightIDR，用于跟踪和报警。

在你开始之前

• 检查并确保您满足创建托管Microsoft AD AWS目录的先决条件:https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setting_up.html
• 当您配置AWS Managed Microsoft AD时，请注意以下信息，因为您需要在InsightIDR中启用事件源时引用它:
  • 域名
  • DNS地址
  • 管理员密码

配置AWS Managed Microsoft AD

任务1:创建AWS Managed Microsoft AD Service

1. 在AWS控制台中，搜索“目录服务”，选择AWS Managed Microsoft AD作为您的目录类型，然后单击Next。

2. 提供将用于该域的域名，并输入密码。

3. 在目录详细信息中，请记下InsightIDR将用于轮询LDAP数据的DNS地址。在InsightIDR中设置事件源时需要这些信息。

任务2:配置DHCP选项集

配置DHCP选项并分配给使用中的VPC。这允许该VPC中的任何实例指向指定的域和DNS服务器来解析它们的域名。

1. 打开Amazon VPC控制台，在左侧导航栏单击创建DHCP选项．

2. 命名您的DHCP选项集，并输入域名和域名服务器．

3. 选择创建DHCP选项集，选中新添加的DHCP选项集，单击保存．

任务3:部署一个实例来管理用户和组

设置域服务后，可以创建一个新实例来管理AWS Managed Microsoft AD中的用户和组。

说明,请参阅https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html．

任务4:(可选)从新实例运行测试LDAP查询

一旦您完成了设置，我们建议您使用组织批准的工具测试连接。在本节中，我们将带领您完成我们的测试用例。

对于我们的示例，我们创建了两个EC2实例，将第一个实例命名为R7AWS-ADMGMT(用于管理AD用户和组)，将第二个实例命名为R7AWS-VM1。两者都加入到新创建的域，作为额外的步骤，我们从R7AWS-VM1测试LDAP连接。

我们使用Idp.exe(可以下载)测试连接在这里)，下面的结果显示连接成功，并且实例正在轮询AD用户帐户信息。

在InsightIDR中设置LDAP事件源

完成此步骤后，请确保使用创建AWS Managed Microsoft AD Directory Service时提供的凭据。

设置事件源:

1. 从左边的菜单中选择数据收集．进入“数据采集”界面。
2. 单击设置事件源下拉选择添加事件源．
3. 在用户属性下，选择LDAP．将出现“添加事件源”面板。
4. 选择您的收集器和选择Microsoft Active Directory LDAP．
5. 选择与事件源日志位置匹配的时区。
6. 在Server字段中，输入第3步中记录的DNS地址创建AWS托管目录服务．
7. 在“刷新率”中输入以小时为单位的刷新率。
8. 2 .在“User Domain”中输入AD域。
9. 在凭据字段中，输入您创建的域凭据。
10. 2 .在“Password”中输入访问LDAP服务器的密码。
11. (可选)在“Base DN”中输入您的Base区别名。
12. (可选)输入具有admin权限的组名。
13. 单击Save。

验证配置

添加事件源之后，应该验证InsightIDR是否成功提取了LDAP数据。

验证配置结果。

1. 在InsightIDR中，导航到数据收集并选择事件源选项卡。
2. 在“产品类型”下选择LDAP并点击查看原始日志以确认LDAP查询已成功运行。

成功的LDAP轮询:

”{physicalDeliveryOfficeName”:“家”,“whenCreated”:“20191205012438.0 z”、“经理”:“CN = bclinton, OU =用户,OU = r7aws, DC = r7aws, DC =当地”,“sAMAccountName”:“fflinstone”、“givenName”:“弗雷德”、“distinguishedName”:“CN = Fred Flinstone, OU =用户,OU = r7aws, DC = r7aws, DC =当地”,“标题”:“摇滚矿工”、“objectGUID”:“太/ MCXDbkkObo7iaJQKmtQ sn”:“= =”、“打火石”、“部门”:“矿业部门”、“userAccountControl”:“66048”、“userPrincipalName”:“fflinstone@r7aws.local”、“pwdLastSet ": " 132199826781552103 "}

{"physicalDeliveryOfficeName":"Del里约热内卢"，"whenCreated":"20191205021039.0Z"，"manager":"CN=bclinton,OU=Users,OU=r7aws,DC=r7aws,DC=local"，"sAMAccountName":"cwhite"，"givenName":"Chuck"，" distinguhedname ":"CN=Chuck White,OU=Users,OU=r7aws,DC=r7aws,DC=local"，"title":"Fuller刷推销员”、“objectGUID”:“iCHgbaS6KU2ri9MwpQWItg = =”、“sn”:“白”、“部门”:“销售部”、“userAccountControl”:“66048”、“userPrincipalName”:“cwhite@r7aws.local”、“pwdLastSet ": " 132199854395196939 "} "