LDAP
添加轻量级目录访问协议(LDAP)服务器允许InsightIdr跟踪域中包含的用户,管理员和安全组。LDAP自动镜像所有LDAP服务器的数据;因此,即使您有多个LDAP服务器,除非您已手动禁用自动镜像功能,否则只需配置一个LDAP事件源即可。
在你开始之前
为了成功地配置LDAP事件源,您需要记录或更改环境中的一些内容。
- 确保您拥有一个对域中的用户和组对象具有读访问权限的Active Directory帐户。
- 您可以使用与收集活动目录事件源相同的帐户。
- 如果您正在使用LDAP服务器,请确保在采集器和LDAP服务器之间打开636端口(LDAPS)。
- 如果您只是使用LDAP,请务必在收集器和LDAP服务器之间打开端口389。
- 根据您的环境需求,更改或保持默认的LDAP轮询期限。刷新速率在小时内测量,默认速率为24小时。
- 如果您的组织更改了默认的树结构,则配置BaseDN。如果您的组织没有改变默认的树配置,请忽略LDAP事件源配置中的Base DN字段。
如果您不知道如何配置Base DN,请参见使用说明在这里.
如何配置此事件源
- 从仪表板中选择数据收集在左边的菜单上。
- 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源.
- 从“用户属性”部分,单击LDAP图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择时区与事件源日志的位置匹配。
- 在“Server”字段中,输入LDAP服务器(通常是域控制器)的IP地址或完全限定主机名。
- 在“刷新率”字段中,输入以小时为单位的刷新率。
- 2 .在“User Domain”中输入AD域。(NetBIOS / windows 2000之前的域名)
- 选择执行LDAP查询的域管理凭据,或者可选创建一个新的凭证.
- 在“Password”字段中,输入访问LDAP的密码。
- 如果适用,请在“基于”字段中输入基本可分辨名称的值。
- 如果适用,请输入“管理组”字段中具有管理权限的组的名称。
- 点击节省.
如果LDAP查询失败,请填充这些字段,因为它们可能是您的环境所必需的。
Windows Domain Base DN
当您使用Windows域中的基本可分辨名称时,它应该引用包含用户数据的LDAP树中的最顶端点。InsightIdr Collector使用提供的LDAP事件源提供的凭据来收集用户信息。
但是,由于Microsoft Active Directory包含许多不同的变量,在配置LDAP事件源时,您可能需要尝试几个不同的变量作为Base DN:
- 选项1:不填写。在进行查询时,Collector将尝试自己查找Base DN。对于大多数域,Collector可以找到正确的参考点,并在不指定Base DN的情况下找到域中的所有用户。
- 选项2:提供基础DN。看如何添加Base DN的指令。
- 选项3:提供您域的OU。但是,如果InsightIDR无法通过Base DN找到您所在域的所有用户,则只需使用OU填写Base DN字段即可。
查找并配置Base DN
Base Distinguished Name应该指向LDAP树中包含用户数据的最高处。如果您的组织改变了默认的树结构,或者您不确定,那么您必须找到并提供该值。
找到Base DN后,可以在LDAP服务器上配置它,以准确捕获用户数量。要查找合适的根节点:
- 登录LDAP服务器。这通常是您添加LDAP事件源的Windows域的控制器。
- 启动Active Directory用户和计算机程序。
- 右键单击该域对应的LDAP Base DN所在树中的节点。
每个Windows域都有一个基础DN,它将对应于这些位置之一:
- 域本身的专有名称
- 第一个OU列在树的顶部
- 从顶部开始的第一个包含用户对象的OU
- 内置用户ou
- 选择属性选项卡。
- 选择属性编辑器选项卡。
- 复制“distinguishedName”值,粘贴到InsightIDR中LDAP事件源配置的Base DN字段中。
Azure和LDAP.
根据您的环境中Azure的设置,您需要以不同的方式配置LDAP事件源。
混合云和On-prem
根据上面的说明,将LDAP配置为以前实例的正常事件源。
复制域如果使用Azure Active Directory将域复制到云中,则无需为云域配置额外的事件源。
非复制域如果您的域没有使用Azure Active Directory复制到云中,您必须设置一个额外的LDAP事件源来覆盖您的云域。为此,请完成以下工作:
- 配置VM以在Azure域内运行InsightIdr收集器。您还可以使用此方法来检索域的身份验证活动。
- 在InsightIdr中安装并注册收集器。
- 如果托管您自己的域,请正常配置LDAP事件源,以从您的域控制器之一进行查询。
- 如果使用Azure AD域服务,需要配置管理域控制器的LDAP。
托管域控制器的LDAP
- 请确保运行采集器的虚拟机与已启用的Domain Services在同一子网中,或在可访问该Domain Services子网的子网中。
- 在Azure门户中,转到“Azure AD域服务”资源。在"管理"部分,去属性选项卡并在虚拟网络上找到IP地址。
- 注意已经存在于该域中的用户。或者,将一个新用户添加到您将要创建的LDAP事件源所在的域中。
- 请注意,这将强制重置密码,以便域控制器可以安全地存储新密码。有关更多信息,请参阅Azure文档:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-getting-started-password-sync
- 使用Azure门户中指定的IP地址在该收集器上创建LDAP事件源。
- 使用步骤3中用户的凭据。
- 使用用户名字段中的域后缀的用户的短名称。
- 例如,如果用户名是
jsmith@myorg.example.com
,短名字是又该
- 例如,如果用户名是
- 点击节省.
请注意,VM不需要加入域以配置此事件源。