Idaptive SSO

Idaptive SSO是一种云服务,允许您跟踪进入身份验证事件并为这些事件生成文档,以防止特权访问被滥用。

此时,InsightIDR仅通过您的IDA数据跟踪密码验证。完成配置后,此事件源每两小时刷新一次。

在你开始之前

使用Admin帐户连接到具有API权限的InsightIDR,以查询redrock /查询/安全端点。在这里阅读更多关于Idaptive API的信息:https://developer.idaptive.com/reference#post_acl-对勾

您还必须从您的Idaptive申请中收集以下信息:

  • TenantID
  • 使用者
  • 密码

Idaptive SSO配置

完成这些任务,为这个事件源配置Idaptive SSO。

任务1:创建身份验证配置文件

创建一个身份验证配置文件,第一次挑战使用密码,第二次挑战不使用密码(InsightIDR仅支持密码认证)。配置文件还必须绕过多因素身份验证。

任务2:(可选)创建策略

启用了多因素认证(MFA)的用户可能需要创建一个唯一的策略,允许InsightIDR帐户绕过MFA和其他控件(InsightIDR不支持MFA)。来创建一个策略

  1. 使用与事件源相同的帐户登录到管理门户。
  2. 点击核心服务>政策>添加策略集
  3. 定义策略相关信息。
  4. 输入策略集的名称。
  5. 输入您想在管理门户策略页面上显示的描述。
  6. 配置制定政策激活选项(此选项在默认情况下启用)。
  7. 指定分配政策。
  8. 点击保存按钮。

任务3:验证您可以访问Redrock Query

要测试对红石查询的访问权限,请执行以下操作:

  1. 使用与事件源相同的帐户登录到管理门户。
  2. 导航到核心服务>报告
  3. 点击新报告
  4. 点击编辑脚本粘贴:
         
1
select ID,InternalSessionId,WhenOccurred,EventType,EventMessage,NormalizedUser,FromIPAddress,DirectoryServiceName from event where WhenOccurred >= datefunc('now','-23:59') order by WhenOccurred asc
  1. 点击预览

如果预览返回记录,就可以访问rerock Query端点。

如何配置事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击云服务图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 可选择发送未经过滤的日志
  7. 为Idaptive API使用的Admin帐户创建并命名一个新凭证。
  8. 在“用户名”字段中,输入您的Admin帐户用户名。
  9. 在“密码”字段中,输入admin帐户的密码。
  10. 在“租户ID”字段中,输入Idaptive设备的租户ID。例如,如果您的Idaptive URL是tenantID.my.idaptive.app,您的房客ID是tenantID
  11. 配置您的默认域
  12. 点击保存按钮。

验证配置

  1. 从左边的菜单中,单击日志搜索查看原始日志,以确保事件被发送到收集器。选择适用的日志集和其中的日志名称。日志名称将是事件源名称或“Idaptive SSO”(如果您没有命名事件源)。

Idaptive SSO日志流入日志集:

  • 进入认证
  1. 表演日志搜索确保Idaptive SSO事件通过。

下面是Idaptive SSO发送给InsightIDR的输入日志示例。

         
json
1
2
“FromIPAddress”“149.14.220.2”
3.
“ID”“7729851 cecdcfa97.w1a.f478.bdec1d8678e62ddd”
4
“EventType”“Cloud.Core.LoginFail”
5
“EventMessage”"Failed login attempt as bob from 149.14.220.2"
6
“标准化用户”“bob”
7
“InternalSessionId”“2669 c4fd-34c2-4e01-9add-13a0a5062de1”
8
“WhenOccurred”“/日期(1547554501673)/”
9
“DirectoryServiceName”“未知”
10