Rapid7 Universal Invress身份验证

如果Rapid7不支持入口身份验证的日志格式,您仍然可以将数据发送到InsightIDR,只要您将日志转换为符合通用事件格式(UEF)约定。

进入身份验证是指可以观察到用户帐户从公共Internet上的IP身份验证到受保护系统的任何活动。例如,当用户帐户使用VPN登录,检查他们的手机电子邮件,或访问云服务,如谷歌Apps等。

InsightIdr将使用此活动进行事件检测(多个国家身份验证,从残疾人账户等入口),在Ingress位置映射和仪表板上的可视化以及日志搜索中的调查。

需要帮助转换日志?

阅读有关转换日志的说明Rapid7博客文章将日志转换为UEF帮助页面。

必填字段

确保您的入口验证日志中包含以下字段,这样就可以构造一个有效的UEF入口认证对象。违反UEF的对象将不被InsightIDR摄入,将成为日志搜索不可用。

场地

必需的?

验证

描述

事件类型

是的

此字段必须是Ingress_Authentication,以指示通用事件的类型。

这个通用事件的事件类型。

版本

是的

InsightIDR目前支持版本V1。

在INGRESS_AUTHENTICATION EVENT_TYPE的版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。

时间

是的

必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容:
YYYY-MM-DDTHH:MM:SS.SSSZ

ISO 8601扩展时间戳。

账户

是的

这应该是一个非空字符串,例如jdoe.

与入口认证相关联的账户。如果帐户匹配与InsightIDR用户相关联的任何已知的帐户,入口认证活动将归于该用户。

account_domain.

该值必须为null或nonempty,例如集团

帐户的Active Directory域。

source_ip.

是的

这必须是IPv4地址或IPv4映射IPv6地址。

身份验证的源IP地址。只有公共IPS(可路由IPS)的IP地址将被视为有效的入口活动。

Authentication_Result.

是的

这必须是“成功”或“失败”。

身份验证结果。

身份验证_target.

是的

每个应用程序或服务必须是唯一的字符串值。字母数字字符、空格和字符_ -()。在此字符串中有效。

例如,营销维基

目标服务或应用身份验证尝试。在悬停在入口图标上时,会出现此字段的值。

custom_data.

必须是一个JSON对象。

使用此字段发送任何其他信息。此数据可用于日志搜索和LEQL查询。

示例格式

您必须以UTF-8格式发送到InsightIdr收集器的事件,每个日志线代表单个事件和缩小每个事件的换行符。

例如,{ “EVENT_TYPE”: “INGRESS_AUTHENTICATION”, “版本”: “V1”, “时间”: “2018-06-07T18:18:31.1Z”, “账”: “JDOE”, “ACCOUNT_DOMAIN”: “股份有限公司”,“SOURCE_IP”: “10.6.102.53”, “authentication_result”: “成功”, “authentication_target”: “营销维基”}

发送到InsightIDR每个事件都不能包含换行符。

以下是具有可读格式的通用入口身份验证事件的一些示例:

         

          

           
          

         

          

           

            1

           
          

          

           

            2

           {
          

          

           

            3.

           “版本”:“v1”,
          

          

           

            4.

           :“event_type INGRESS_AUTHENTICATION”,
          

          

           

            5.

           “时间”:“2018-06-07T18:18:31.123z”,
          

          

           

            6.

           “帐户”:“jdoe”,
          

          

           

            7.

           “account_domain”:“corp”,
          

          

           

            8.

           “source_ip”:“130.26.110.4”,
          

          

           

            9.

           “authentication_result”:“成功”,
          

          

           

            10.

           “authentication_target”:“营销维基”
          

          

           

            11.

           }
          

          

           

            12.

或者:

         

          

           
          

         

          

           

            1

           {
          

          

           

            2

           “版本”:“v1”,
          

          

           

            3.

           :“event_type INGRESS_AUTHENTICATION”,
          

          

           

            4.

           “时间”: “2018-06-07T18:18:31.99Z”
          

          

           

            5.

           “帐户”:“jdoe”,
          

          

           

            6.

           “account_domain”:“corp”,
          

          

           

            7.

           “source_ip”:“130.26.110.4”,
          

          

           

            8.

           “authentication_result”:“失败”,
          

          

           

            9.

           “authentication_target”:“营销Wiki”,
          

          

           

            10.

           “custom_data”:{
          

          

           

            11.

           :“arbitrary_field arbitrary_value”,
          

          

           

            12.

           “Arbitrary_number”:123
          

          

           

            13.

           }
          

          

           

            14.

           }
          

          

           

            15.