Rapid7 Universal Invress身份验证
如果Rapid7不支持入口身份验证的日志格式,您仍然可以将数据发送到InsightIDR,只要您将日志转换为符合通用事件格式(UEF)约定。
进入身份验证是指可以观察到用户帐户从公共Internet上的IP身份验证到受保护系统的任何活动。例如,当用户帐户使用VPN登录,检查他们的手机电子邮件,或访问云服务,如谷歌Apps等。
InsightIdr将使用此活动进行事件检测(多个国家身份验证,从残疾人账户等入口),在Ingress位置映射和仪表板上的可视化以及日志搜索中的调查。
需要帮助转换日志?
阅读有关转换日志的说明Rapid7博客文章或将日志转换为UEF帮助页面。
必填字段
确保您的入口验证日志中包含以下字段,这样就可以构造一个有效的UEF入口认证对象。违反UEF的对象将不被InsightIDR摄入,将成为日志搜索不可用。
场地 |
必需的? |
验证 |
描述 |
---|---|---|---|
事件类型 |
是的 |
此字段必须是Ingress_Authentication,以指示通用事件的类型。 |
这个通用事件的事件类型。 |
版本 |
是的 |
InsightIDR目前支持版本V1。 |
在INGRESS_AUTHENTICATION EVENT_TYPE的版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容: |
ISO 8601扩展时间戳。 |
账户 |
是的 |
这应该是一个非空字符串,例如 |
与入口认证相关联的账户。如果帐户匹配与InsightIDR用户相关联的任何已知的帐户,入口认证活动将归于该用户。 |
account_domain. |
不 |
该值必须为null或nonempty,例如 |
帐户的Active Directory域。 |
source_ip. |
是的 |
这必须是IPv4地址或IPv4映射IPv6地址。 |
身份验证的源IP地址。只有公共IPS(可路由IPS)的IP地址将被视为有效的入口活动。 |
Authentication_Result. |
是的 |
这必须是“成功”或“失败”。 |
身份验证结果。 |
身份验证_target. |
是的 |
每个应用程序或服务必须是唯一的字符串值。字母数字字符、空格和字符 |
目标服务或应用身份验证尝试。在悬停在入口图标上时,会出现此字段的值。 |
custom_data. |
不 |
必须是一个JSON对象。 |
使用此字段发送任何其他信息。此数据可用于日志搜索和LEQL查询。 |
示例格式
您必须以UTF-8格式发送到InsightIdr收集器的事件,每个日志线代表单个事件和缩小每个事件的换行符。
例如,{ “EVENT_TYPE”: “INGRESS_AUTHENTICATION”, “版本”: “V1”, “时间”: “2018-06-07T18:18:31.1Z”, “账”: “JDOE”, “ACCOUNT_DOMAIN”: “股份有限公司”,“SOURCE_IP”: “10.6.102.53”, “authentication_result”: “成功”, “authentication_target”: “营销维基”}
发送到InsightIDR每个事件都不能包含换行符。
以下是具有可读格式的通用入口身份验证事件的一些示例:
12{3.“版本”:“v1”,4.:“event_type INGRESS_AUTHENTICATION”,5.“时间”:“2018-06-07T18:18:31.123z”,6.“帐户”:“jdoe”,7.“account_domain”:“corp”,8.“source_ip”:“130.26.110.4”,9.“authentication_result”:“成功”,10.“authentication_target”:“营销维基”11.}12.
或者:
1{2“版本”:“v1”,3.:“event_type INGRESS_AUTHENTICATION”,4.“时间”: “2018-06-07T18:18:31.99Z”5.“帐户”:“jdoe”,6.“account_domain”:“corp”,7.“source_ip”:“130.26.110.4”,8.“authentication_result”:“失败”,9.“authentication_target”:“营销Wiki”,10.“custom_data”:{11.:“arbitrary_field arbitrary_value”,12.“Arbitrary_number”:12313.}14.}15.