LDAP

添加轻量级目录访问协议(LDAP)服务器允许InsightIdr跟踪域中包含的用户,管理员和安全组。LDAP自动镜像所有LDAP服务器的数据;因此,即使您有多个LDAP服务器,除非您已手动禁用自动镜像功能,否则只需配置一个LDAP事件源即可。

如果您的环境中使用Azure,请单击此处

在你开始之前

为了成功地配置LDAP事件源,您需要记录或更改环境中的一些内容。

  1. 确保您拥有一个对域中的用户和组对象具有读访问权限的Active Directory帐户。
    • 您可以使用与收集活动目录事件源相同的帐户。
  2. 如果您正在使用LDAP服务器,请确保在采集器和LDAP服务器之间打开636端口(LDAPS)。
    • 如果您只是使用LDAP,请务必在收集器和LDAP服务器之间打开端口389。
  3. 根据您的环境需求,更改或保持默认的LDAP轮询期限。刷新速率在小时内测量,默认速率为24小时。
  4. 如果您的组织更改了默认的树结构,则配置BaseDN。如果您的组织没有改变默认的树配置,请忽略LDAP事件源配置中的Base DN字段。

如果您不知道如何配置Base DN,请参见使用说明在这里

如何配置此事件源

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源
  3. 从“用户属性”部分,单击LDAP图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 在“Server”字段中,输入LDAP服务器(通常是域控制器)的IP地址或完全限定主机名。
  7. 在“刷新率”字段中,输入以小时为单位的刷新率。
  8. 2 .在“User Domain”中输入AD域。(NetBIOS / windows 2000之前的域名)
  9. 选择执行LDAP查询的域管理凭据,或者可选创建一个新的凭证
  10. 在“Password”字段中,输入访问LDAP的密码。
  11. 如果适用,请在“基于”字段中输入基本可分辨名称的值。
  12. 如果适用,请输入“管理组”字段中具有管理权限的组的名称。
  13. 点击节省

如果LDAP查询失败,请填充这些字段,因为它们可能是您的环境所必需的。

Windows Domain Base DN

当您使用Windows域中的基本可分辨名称时,它应该引用包含用户数据的LDAP树中的最顶端点。InsightIdr Collector使用提供的LDAP事件源提供的凭据来收集用户信息。

但是,由于Microsoft Active Directory包含许多不同的变量,在配置LDAP事件源时,您可能需要尝试几个不同的变量作为Base DN:

  • 选项1:不填写。在进行查询时,Collector将尝试自己查找Base DN。对于大多数域,Collector可以找到正确的参考点,并在不指定Base DN的情况下找到域中的所有用户。
  • 选项2:提供基础DN。看如何添加Base DN的指令。
  • 选项3:提供您域的OU。但是,如果InsightIDR无法通过Base DN找到您所在域的所有用户,则只需使用OU填写Base DN字段即可。

查找并配置Base DN

Base Distinguished Name应该指向LDAP树中包含用户数据的最高处。如果您的组织改变了默认的树结构,或者您不确定,那么您必须找到并提供该值。

找到Base DN后,可以在LDAP服务器上配置它,以准确捕获用户数量。要查找合适的根节点:

  1. 登录LDAP服务器。这通常是您添加LDAP事件源的Windows域的控制器。
  2. 启动Active Directory用户和计算机程序。
  3. 右键单击该域对应的LDAP Base DN所在树中的节点。

每个Windows域都有一个基础DN,它将对应于这些位置之一:

  • 域本身的专有名称
  • 第一个OU列在树的顶部
  • 从顶部开始的第一个包含用户对象的OU
  • 内置用户ou
  1. 选择属性选项卡。
  2. 选择属性编辑器选项卡。
  3. 复制“distinguishedName”值,粘贴到InsightIDR中LDAP事件源配置的Base DN字段中。

Azure和LDAP.

根据您的环境中Azure的设置,您需要以不同的方式配置LDAP事件源。

混合云和On-prem

根据上面的说明,将LDAP配置为以前实例的正常事件源。

复制域如果使用Azure Active Directory将域复制到云中,则无需为云域配置额外的事件源。

非复制域如果您的域没有使用Azure Active Directory复制到云中,您必须设置一个额外的LDAP事件源来覆盖您的云域。为此,请完成以下工作:

  1. 配置VM以在Azure域内运行InsightIdr收集器。您还可以使用此方法来检索域的身份验证活动。
  2. 在InsightIdr中安装并注册收集器。
  3. 如果托管您自己的域,请正常配置LDAP事件源,以从您的域控制器之一进行查询。
  4. 如果使用Azure AD域服务,需要配置管理域控制器的LDAP。

托管域控制器的LDAP

  1. 请确保运行采集器的虚拟机与已启用的Domain Services在同一子网中,或在可访问该Domain Services子网的子网中。
  2. 在Azure门户中,转到“Azure AD域服务”资源。在"管理"部分,去属性选项卡并在虚拟网络上找到IP地址。
  1. 注意已经存在于该域中的用户。或者,将一个新用户添加到您将要创建的LDAP事件源所在的域中。
  2. 使用Azure门户中指定的IP地址在该收集器上创建LDAP事件源。
  3. 使用步骤3中用户的凭据。
  4. 使用用户名字段中的域后缀的用户的短名称。
    • 例如,如果用户名是jsmith@myorg.example.com,短名字是又该
  5. 点击节省

请注意,VM不需要加入域以配置此事件源。