LDAP

添加轻量级目录访问协议（LDAP）服务器允许InsightIdr跟踪域中包含的用户，管理员和安全组。LDAP自动镜像所有LDAP服务器的数据;因此，即使您有多个LDAP服务器，除非您已手动禁用自动镜像功能，否则只需配置一个LDAP事件源即可。

如果您的环境中使用Azure，请单击此处．

在你开始之前

为了成功地配置LDAP事件源，您需要记录或更改环境中的一些内容。

1. 确保您拥有一个对域中的用户和组对象具有读访问权限的Active Directory帐户。
   • 您可以使用与收集活动目录事件源相同的帐户。
2. 如果您正在使用LDAP服务器，请确保在采集器和LDAP服务器之间打开636端口(LDAPS)。
   • 如果您只是使用LDAP，请务必在收集器和LDAP服务器之间打开端口389。
3. 根据您的环境需求，更改或保持默认的LDAP轮询期限。刷新速率在小时内测量，默认速率为24小时。
4. 如果您的组织更改了默认的树结构，则配置BaseDN。如果您的组织没有改变默认的树配置，请忽略LDAP事件源配置中的Base DN字段。

如果您不知道如何配置Base DN，请参见使用说明在这里．

如何配置此事件源

1. 从仪表板中选择数据收集在左边的菜单上。
2. 出现“数据收集”页面时，单击“设置事件源下拉选择添加事件源．
3. 从“用户属性”部分，单击LDAP图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 选择时区与事件源日志的位置匹配。
6. 在“Server”字段中，输入LDAP服务器(通常是域控制器)的IP地址或完全限定主机名。
7. 在“刷新率”字段中，输入以小时为单位的刷新率。
8. 2 .在“User Domain”中输入AD域。(NetBIOS / windows 2000之前的域名)
9. 选择执行LDAP查询的域管理凭据，或者可选创建一个新的凭证．
10. 在“Password”字段中，输入访问LDAP的密码。
11. 如果适用，请在“基于”字段中输入基本可分辨名称的值。
12. 如果适用，请输入“管理组”字段中具有管理权限的组的名称。
13. 点击节省．

Windows Domain Base DN

当您使用Windows域中的基本可分辨名称时，它应该引用包含用户数据的LDAP树中的最顶端点。InsightIdr Collector使用提供的LDAP事件源提供的凭据来收集用户信息。

但是，由于Microsoft Active Directory包含许多不同的变量，在配置LDAP事件源时，您可能需要尝试几个不同的变量作为Base DN:

• 选项1:不填写。在进行查询时，Collector将尝试自己查找Base DN。对于大多数域，Collector可以找到正确的参考点，并在不指定Base DN的情况下找到域中的所有用户。
• 选项2：提供基础DN。看如何添加Base DN的指令。
• 选项3:提供您域的OU。但是，如果InsightIDR无法通过Base DN找到您所在域的所有用户，则只需使用OU填写Base DN字段即可。

查找并配置Base DN

Base Distinguished Name应该指向LDAP树中包含用户数据的最高处。如果您的组织改变了默认的树结构，或者您不确定，那么您必须找到并提供该值。

找到Base DN后，可以在LDAP服务器上配置它，以准确捕获用户数量。要查找合适的根节点：

1. 登录LDAP服务器。这通常是您添加LDAP事件源的Windows域的控制器。
2. 启动Active Directory用户和计算机程序。
3. 右键单击该域对应的LDAP Base DN所在树中的节点。

每个Windows域都有一个基础DN，它将对应于这些位置之一：

• 域本身的专有名称
• 第一个OU列在树的顶部
• 从顶部开始的第一个包含用户对象的OU
• 内置用户ou

4. 选择属性选项卡。
5. 选择属性编辑器选项卡。
6. 复制“distinguishedName”值，粘贴到InsightIDR中LDAP事件源配置的Base DN字段中。

Azure和LDAP.

根据您的环境中Azure的设置，您需要以不同的方式配置LDAP事件源。

混合云和On-prem

根据上面的说明，将LDAP配置为以前实例的正常事件源。

复制域如果使用Azure Active Directory将域复制到云中，则无需为云域配置额外的事件源。

非复制域如果您的域没有使用Azure Active Directory复制到云中，您必须设置一个额外的LDAP事件源来覆盖您的云域。为此，请完成以下工作:

1. 配置VM以在Azure域内运行InsightIdr收集器。您还可以使用此方法来检索域的身份验证活动。
2. 在InsightIdr中安装并注册收集器。
3. 如果托管您自己的域，请正常配置LDAP事件源，以从您的域控制器之一进行查询。
4. 如果使用Azure AD域服务，需要配置管理域控制器的LDAP。

托管域控制器的LDAP

1. 请确保运行采集器的虚拟机与已启用的Domain Services在同一子网中，或在可访问该Domain Services子网的子网中。
2. 在Azure门户中，转到“Azure AD域服务”资源。在"管理"部分，去属性选项卡并在虚拟网络上找到IP地址。

3. 注意已经存在于该域中的用户。或者，将一个新用户添加到您将要创建的LDAP事件源所在的域中。
   • 请注意，这将强制重置密码，以便域控制器可以安全地存储新密码。有关更多信息，请参阅Azure文档：https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-getting-started-password-sync
4. 使用Azure门户中指定的IP地址在该收集器上创建LDAP事件源。
5. 使用步骤3中用户的凭据。
6. 使用用户名字段中的域后缀的用户的短名称。
   • 例如，如果用户名是jsmith@myorg.example.com，短名字是又该
7. 点击节省．

请注意，VM不需要加入域以配置此事件源。