Rapid7 Universal VPN.

如果RAPIT7不支持VPN解决方案的日志记录格式,您仍然可以将数据发送到InsightIDR的用户行为分析引擎中,只要转换日志以满足此通用事件格式(UEF)合同。

Universal VPN事件源支持多种事件类型:

  • vpn_session_ip_assigned.
  • vpn_session_termination.

需要帮助转换日志?

阅读有关转换日志的说明Rapid7博客文章或者在将日志转换为UEF帮助页面。

vpn_session_ip_assigned的必填字段

启动VPN会话时,必须使用分配给帐户的特定IP地址发送InsightIdr a vpn_session_ip_assigned事件。

请勿从多个用户帐户使用单个IP的设备中发送VPN会话事件。

InsightIdr只支持在整个VPN会话中固定到单个用户时监视VPN会话,然后当VPN会话终止时返回到池。如果不遵循这一点,它将导致产品中的意外行为和检测。

场地

必需的?

验证

描述

事件类型

是的

vpn_session_ip_assigned.

这个通用事件的事件类型。

版本

是的

InsightIdr目前支持版本“v1”。

vpn_session_ip_assigned event_type的版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。

时间

是的

必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容:
YYYY-MM-DDTHH:MM:SS.SSSZ

ISO 8601扩展时间戳。

帐户

是的

这应该是一个非空字符串,例如jdoe.

与VPN会话关联的帐户。如果帐户与与用户关联的任何已知帐户匹配,InsightIdr将将VPN会话属于该用户。

account_domain.

该值必须为null或nonempty,例如cor

帐户的Active Directory域。

descriped_ip.

是的

这必须是IPv4地址或IPv4映射IPv6地址。

此帐户的IP地址已在VPN会话的持续时间分配。

custom_data.

必须是json对象。

使用此字段发送任何其他信息。此数据可用于日志搜索和LEQL查询。

vpn_session_ip_assigned与入口的必需字段

您可以选择使用vpn_session_ip_assigned事件发送以下附加字段,这使InsightIdr能够从此活动中检测和可视化入口活动:

  • source_ip.
  • 身份验证_target.
  • Authentication_Result.

如果所有三个字段存在并有效(除常规VPN字段),Universal VPN事件源还将将通用VPN事件解释为VPN操作和如定义的入口活动。Rapid7 Universal Invress身份验证文档。

如果这三个字段中的一个或多个存在但缺少数据,InsightIdr将完全删除VPN和Ingress事件。

所有可选字段必须存在并有效,以便为VPN和Ingress事件进行接受。

场地

必需的?

验证

描述

事件类型

是的

vpn_session_ip_assigned.

这个通用事件的事件类型。

版本

是的

InsightIdr目前支持版本“v1”。

vpn_session_ip_assigned event_type的版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。

时间

是的

必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容:
`yyyy-mm-dd't'hh:mm:ss.sssz``

ISO 8601扩展时间戳。

帐户

是的

这应该是一个非空字符串,例如jdoe.

与VPN会话关联的帐户。如果帐户与与用户关联的任何已知帐户匹配,InsightIdr将将VPN会话属于该用户。

account_domain.

该值必须为null或nonempty,例如cor

帐户的Active Directory域。

descriped_ip.

是的

这必须是IPv4地址或IPv4映射IPv6地址。

此帐户的IP地址已在VPN会话的持续时间分配。

source_ip.

是的

这必须是IPv4地址或IPv4映射IPv6地址。

身份验证的源IP地址。InsightIdr只会考虑作为有效入口活动的公共/可路由IP的IP地址。

Authentication_Result.

是的

这必须是“成功”或“失败”。

身份验证结果。

身份验证_target.

是的

必须是每个应用程序或服务的唯一字符串值。字母数字字符,空格和字符_ - ()。在此字符串中有效。

例如,波士顿办事处VPN.

发生身份验证尝试的VPN的名称。在悬停在入口图标上时,会出现此字段的值。也可以是一般的价值VPN.

custom_data.

必须是json对象。

有关VPN事件的其他信息,它不用于解释事件。将在ource_data中显示日志搜索。

vpn_session_termination的必填字段

当您终止VPN会话时,必须使用会话终止的帐户发送vpn_session_termination事件。一旦会话终止,InsightIdr将基于在启动会话时分配的IP地址将活动不再属于用户。

如果您的日志不包括生成VPN_Session_termination事件的必要信息,则当另一个vpn_session_ip_assigned事件观察IP时,将转移到新会话中的分配的IP。

场地

必需的?

验证

描述

事件类型

是的

此字段必须是vpn_session_termination,以指示通用事件的类型。

这个通用事件的事件类型。

版本

是的

InsightIdr目前支持版本“v1”。

vpn_session_termination事件版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。

时间

是的

必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容:
YYYY-MM-DDTHH:MM:SS.SSSZ

ISO 8601扩展时间戳。

帐户

是的

这应该是一个非空字符串,例如jdoe.

与VPN会话关联的帐户。如果帐户与与用户关联的任何已知帐户匹配,则InsightIdr将为该用户找到任何现有的IP映射并将其删除。

account_domain.

该值必须为null或nonempty,例如cor

帐户的Active Directory域。

custom_data.

必须是json对象。

使用此字段发送任何其他信息。此数据可用于日志搜索和LEQL查询。

示例格式

您必须以UTF-8格式发送到InsightIdr收集器的事件,每个日志线代表单个事件,以及每次活动的换行符。

例如:{“event_type”:“vpn_session_ip_assigned”,“版本”:“v1”,“时间”:“2018-06-07T18:18:31.123z”,“帐户”:“jdoe”,“displayed_ip”:“10.6.100.40“,”source_ip“:”33.5.45.40“,”身份验证_result“:”成功“,”身份验证_target“:”Boston Office VPN“}

发送给InsightIdr的每个事件都不包含换行符;InsightIdr只允许聘请分隔单独的普遍事件。

以下是具有可读格式的通用VPN事件的一些示例:

         
1
{
2
“event_type”:“vpn_session_ip_assigned”,
3.
“版本”:“v1”,
4.
“时间”:“2018-06-07T18:18:31.123z”,
5.
“帐户”:“jdoe”,
6.
“Assegated_IP”:“10.6.100.40”,
7.
“source_ip”:“33.5.100.40”,
8.
“身份验证_result”:“成功”,
9.
“Authentication_target”:“Boston Office VPN”
10.
}

或者:

         
1
{
2
“event_type”:“vpn_session_ip_assigned”,
3.
“版本”:“v1”,
4.
“时间”:“2018-06-07T18:18:31.123z”,
5.
“帐户”:“jdoe”,
6.
“account_domain”:“corp”,
7.
“descriped_ip”:“10.6.100.40”
8.
}

或者:

         
1
{
2
“event_type”:“vpn_session_ip_assigned”,
3.
“版本”:“v1”,
4.
“时间”:“2018-06-07T18:18:31.123z”,
5.
“帐户”:“jdoe”,
6.
“account_domain”:“corp”,
7.
“Assegated_IP”:“10.6.100.40”,
8.
“custom_data”:{
9.
“核心价值”
10.
}
11.
}
12.

或者:

         
1
2
{
3.
“event_type”:“vpn_session_termination”,
4.
“版本”:“v1”,
5.
“时间”:“2018-06-07T18:18:31.123z”,
6.
“帐户”:“jdoe”,
7.
“account_domain”:“corp”
8.
}