微软DHCP

Microsoft Dynamic Host Configuration Protocol (DHCP)是IP地址↔asset映射的一部分。如果InsightIDR在日志数据或端点数据中看到IP地址,InsightIDR需要确定该IP地址归属于什么资产。它通常使用DHCP来完成这项工作。

配置事件源有两种方式:

日志没有解析或属性

时间对于属性来说很重要,所以如果多个时区出现在一个事件源中,数据将被忽略而不是被错误地属性。每个DHCP服务器有一个事件源是很重要的,如果不可能,每个时区至少有一个事件源。例如,一个事件源用于EST中的DHCP服务器,一个事件源用于CST中的DHCP服务器。

Microsoft DHCP server日志

Microsoft DHCP和DNS服务器使用类似的技术生成审核日志。在这两种情况下,当启用日志记录时,服务将其活动记录到文件系统上的配置位置。为了在InsightIDR中读取这些日志,我们提供了文件和目录监视程序来自动读取对这些日志文件的任何更改。共享包含日志文件的文件夹,以便收集器能够通过网络读取这些文件。此文件夹需要与只读凭据共享,该凭据也将提供给DHCP和DNS事件源配置。

DHCP服务器为网络设备分配地址。InsightIDR使用DHCP信息将用户与其各种资产和不断变化的IP地址联系起来。此事件源对于资产到IP的关联至关重要。

Rapid7建议DHCP日志文件夹位于主机的根(C)驱动器上,例如,C:\dhcplogs。

默认情况下,Microsoft DHCP数据库与日志保存在同一个文件夹中。它是强烈推荐将日志移动到单独的文件夹。如果这是不可能的,可以使用指定文件模式的选项来配置日志收集,如dhcpsrv*.log

另外,建议将存储日志的文件夹共享为隐藏共享,并只提供用于日志收集读取共享的服务帐户。

启用DHCP记录功能。

  1. 新建一个存放DHCP日志的文件夹。推荐使用“C:\dhcplogs”路径存放DHCP日志。
  2. 右键单击文件夹并选择属性从下拉菜单。在“属性”对话框中,单击“共享”选项卡,然后单击“高级共享”按钮。
  3. 在“高级共享”对话框中,选择共享此文件夹然后点击权限按钮。
  4. 在“共享权限”对话框中,单击加上…按钮并提供访问此文件的凭据。在建立DNS事件源时,需要在InsightIDR中包含此证书的用户名和密码。
  5. 启动DHCP控制台。
  6. 右击IPv4,并选择属性从下拉菜单。

IPv4属性

  1. 单击Advanced选项卡。在审核日志文件路径字段,将目标文件夹修改为存放DHCP日志的文件夹。

审核日志文件路径

强烈建议您选择用作日志文件夹的默认文件夹以外的文件夹。如果使用默认文件夹,此文件夹中还将存在其他DHCP二进制文件,从而导致InsightIDR DHCP事件源在尝试读取这些文件时发出警告。这可能会中断Microsoft DHCP服务。

在InsightIDR端,您可以配置DHCP事件源通过UNC符号读取共享文件夹,并提供在设置共享文件夹时使用的凭据。UNC表示法是微软的通用命名约定,是描述网络资源位置的常用语法。需要使用DhcpSrvLog*.log文件过滤器,确保InsightIDR只读取DHCP日志文件。

配置与NXLog

如果您不希望在DHCP服务器上创建文件共享,可以使用NXLog收集和发送日志。NXLog必须安装在DHCP服务器上才能使用。NXLog会读取DHCP日志,并通过syslog发送到您的InsightIDR Collector。

要使用NXLog进行配置,请执行以下操作:

  1. 下载并安装NXLog。有关如何操作的说明,请参阅NXLog页面。
  2. 从InsightIDR仪表板中,选择数据收集在左边的菜单上。
  3. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  4. 在User Attribution部分中,单击DHCP图标。将出现“添加事件源”面板。
  5. 选择你的收集器。
  6. 选择微软DHCP作为事件源,并为其指定一个描述性名称。
  7. 选择时区与事件源日志的位置匹配。
  8. 保留不活动超时阈值和活动故障转移伙伴的默认值。
  9. 点击监听网络端口按钮。
  10. 港口字段中,输入要用于此事件源的端口。不能使用已用于其他事件源的端口。
  11. 协议选择UDP或TCP。虽然此事件源支持两种协议,但请注意NXLog必须配置为使用您选择的协议发送日志。
  12. 点击保存
  13. 按照手册中的说明去做微软DHCP部分的NXLog页来编辑nxlog.conf文件以收集安全日志并将其转发给InsightIDR。