AWS Managed Microsoft AD

AWS Managed Microsoft AD是Amazon Web Services提供的基于云的活动目录服务。您可以配置AWS Managed Microsoft AD,将LDAP数据发送到InsightIDR,用于跟踪和报警。

在你开始之前

配置AWS Managed Microsoft AD

任务1:创建AWS Managed Microsoft AD Service

  1. 在AWS控制台中,搜索“目录服务”,选择AWS Managed Microsoft AD作为您的目录类型,然后单击Next。

目录服务搜索

  1. 提供将用于该域的域名,并输入密码。

请提供域名和密码

  1. 在目录详细信息中,请记下InsightIDR将用于轮询LDAP数据的DNS地址。在InsightIDR中设置事件源时需要这些信息。

目录的细节

任务2:配置DHCP选项集

配置DHCP选项并分配给使用中的VPC。这允许该VPC中的任何实例指向指定的域和DNS服务器来解析它们的域名。

  1. 打开Amazon VPC控制台,在左侧导航栏单击创建DHCP选项

创建DHCP选项集

  1. 命名您的DHCP选项集,并输入域名域名服务器

命名您的DHCP选项集

  1. 选择创建DHCP选项集,选中新添加的DHCP选项集,单击保存

保存DHCP选项设置

任务3:部署一个实例来管理用户和组

设置域服务后,可以创建一个新实例来管理AWS Managed Microsoft AD中的用户和组。

说明,请参阅https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html

任务4:(可选)从新实例运行测试LDAP查询

一旦您完成了设置,我们建议您使用组织批准的工具测试连接。在本节中,我们将带领您完成我们的测试用例。

对于我们的示例,我们创建了两个EC2实例,将第一个实例命名为R7AWS-ADMGMT(用于管理AD用户和组),将第二个实例命名为R7AWS-VM1。两者都加入到新创建的域,作为额外的步骤,我们从R7AWS-VM1测试LDAP连接。

测试LDAP查询

我们使用Idp.exe(可以下载)测试连接在这里),下面的结果显示连接成功,并且实例正在轮询AD用户帐户信息。

LDAP查询测试结果

在InsightIDR中设置LDAP事件源

完成此步骤后,请确保使用创建AWS Managed Microsoft AD Directory Service时提供的凭据。

设置事件源:

  1. 从左边的菜单中选择数据收集.进入“数据采集”界面。
  2. 单击设置事件源下拉选择添加事件源
  3. 在用户属性下,选择LDAP.将出现“添加事件源”面板。
  4. 选择您的收集器和选择Microsoft Active Directory LDAP
  5. 选择与事件源日志位置匹配的时区。
  6. 在Server字段中,输入第3步中记录的DNS地址创建AWS托管目录服务
  7. 在“刷新率”中输入以小时为单位的刷新率。
  8. 2 .在“User Domain”中输入AD域。
  9. 在凭据字段中,输入您创建的域凭据。
  10. 2 .在“Password”中输入访问LDAP服务器的密码。
  11. (可选)在“Base DN”中输入您的Base区别名。
  12. (可选)输入具有admin权限的组名。
  13. 单击Save。

验证配置

添加事件源之后,应该验证InsightIDR是否成功提取了LDAP数据。

验证配置结果。

  1. 在InsightIDR中,导航到数据收集并选择事件源选项卡。
  2. 在“产品类型”下选择LDAP并点击查看原始日志以确认LDAP查询已成功运行。

成功的LDAP轮询:

”{physicalDeliveryOfficeName”:“家”,“whenCreated”:“20191205012438.0 z”、“经理”:“CN = bclinton, OU =用户,OU = r7aws, DC = r7aws, DC =当地”,“sAMAccountName”:“fflinstone”、“givenName”:“弗雷德”、“distinguishedName”:“CN = Fred Flinstone, OU =用户,OU = r7aws, DC = r7aws, DC =当地”,“标题”:“摇滚矿工”、“objectGUID”:“太/ MCXDbkkObo7iaJQKmtQ sn”:“= =”、“打火石”、“部门”:“矿业部门”、“userAccountControl”:“66048”、“userPrincipalName”:“fflinstone@r7aws.local”、“pwdLastSet ": " 132199826781552103 "}

{"physicalDeliveryOfficeName":"Del里约热内卢","whenCreated":"20191205021039.0Z","manager":"CN=bclinton,OU=Users,OU=r7aws,DC=r7aws,DC=local","sAMAccountName":"cwhite","givenName":"Chuck"," distinguhedname ":"CN=Chuck White,OU=Users,OU=r7aws,DC=r7aws,DC=local","title":"Fuller刷推销员”、“objectGUID”:“iCHgbaS6KU2ri9MwpQWItg = =”、“sn”:“白”、“部门”:“销售部”、“userAccountControl”:“66048”、“userPrincipalName”:“cwhite@r7aws.local”、“pwdLastSet ": " 132199854395196939 "} "

成功的LDAP调查