Idaptive SSO
Idaptive SSO是一种云服务,允许您跟踪进入身份验证事件并为这些事件生成文档,以防止特权访问被滥用。
此时,InsightIDR仅通过您的IDA数据跟踪密码验证。完成配置后,此事件源每两小时刷新一次。
在你开始之前
使用Admin帐户连接到具有API权限的InsightIDR,以查询redrock /查询
和/安全
端点。在这里阅读更多关于Idaptive API的信息:https://developer.idaptive.com/reference#post_acl-对勾
您还必须从您的Idaptive申请中收集以下信息:
- TenantID
- 使用者
- 密码
Idaptive SSO配置
完成这些任务,为这个事件源配置Idaptive SSO。
任务1:创建身份验证配置文件
创建一个身份验证配置文件,第一次挑战使用密码,第二次挑战不使用密码(InsightIDR仅支持密码认证)。配置文件还必须绕过多因素身份验证。
任务2:(可选)创建策略
启用了多因素认证(MFA)的用户可能需要创建一个唯一的策略,允许InsightIDR帐户绕过MFA和其他控件(InsightIDR不支持MFA)。来创建一个策略:
- 使用与事件源相同的帐户登录到管理门户。
- 点击核心服务>政策>添加策略集.
- 定义策略相关信息。
- 输入策略集的名称。
- 输入您想在管理门户策略页面上显示的描述。
- 配置制定政策激活选项(此选项在默认情况下启用)。
- 指定分配政策。
- 点击保存按钮。
任务3:验证您可以访问Redrock Query
要测试对红石查询的访问权限,请执行以下操作:
- 使用与事件源相同的帐户登录到管理门户。
- 导航到核心服务>报告.
- 点击新报告.
- 点击编辑脚本粘贴:
1select ID,InternalSessionId,WhenOccurred,EventType,EventMessage,NormalizedUser,FromIPAddress,DirectoryServiceName from event where WhenOccurred >= datefunc('now','-23:59') order by WhenOccurred asc
- 点击预览.
如果预览返回记录,就可以访问rerock Query端点。
如何配置事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击云服务图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 可选择发送未经过滤的日志.
- 为Idaptive API使用的Admin帐户创建并命名一个新凭证。
- 在“用户名”字段中,输入您的Admin帐户用户名。
- 在“密码”字段中,输入admin帐户的密码。
- 在“租户ID”字段中,输入Idaptive设备的租户ID。例如,如果您的Idaptive URL是
tenantID.my.idaptive.app
,您的房客ID是tenantID
. - 配置您的默认域.
- 点击保存按钮。
验证配置
- 从左边的菜单中,单击日志搜索查看原始日志,以确保事件被发送到收集器。选择适用的日志集和其中的日志名称。日志名称将是事件源名称或“Idaptive SSO”(如果您没有命名事件源)。
Idaptive SSO日志流入日志集:
- 进入认证
- 表演日志搜索确保Idaptive SSO事件通过。
下面是Idaptive SSO发送给InsightIDR的输入日志示例。
json
1{2“FromIPAddress”:“149.14.220.2”,3.“ID”:“7729851 cecdcfa97.w1a.f478.bdec1d8678e62ddd”,4“EventType”:“Cloud.Core.LoginFail”,5“EventMessage”:"Failed login attempt as bob from 149.14.220.2",6“标准化用户”:“bob”,7“InternalSessionId”:“2669 c4fd-34c2-4e01-9add-13a0a5062de1”,8“WhenOccurred”:“/日期(1547554501673)/”,9“DirectoryServiceName”:“未知”10}
这页对你有帮助吗?