Rapid7 Universal VPN.
如果RAPIT7不支持VPN解决方案的日志记录格式,您仍然可以将数据发送到InsightIDR的用户行为分析引擎中,只要转换日志以满足此通用事件格式(UEF)合同。
Universal VPN事件源支持多种事件类型:
- vpn_session_ip_assigned.
- vpn_session_termination.
需要帮助转换日志?
阅读有关转换日志的说明Rapid7博客文章或者在将日志转换为UEF帮助页面。
vpn_session_ip_assigned的必填字段
启动VPN会话时,必须使用分配给帐户的特定IP地址发送InsightIdr a vpn_session_ip_assigned事件。
请勿从多个用户帐户使用单个IP的设备中发送VPN会话事件。
InsightIdr只支持在整个VPN会话中固定到单个用户时监视VPN会话,然后当VPN会话终止时返回到池。如果不遵循这一点,它将导致产品中的意外行为和检测。
场地 |
必需的? |
验证 |
描述 |
|---|---|---|---|
事件类型 |
是的 |
vpn_session_ip_assigned. |
这个通用事件的事件类型。 |
版本 |
是的 |
InsightIdr目前支持版本“v1”。 |
vpn_session_ip_assigned event_type的版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容: |
ISO 8601扩展时间戳。 |
帐户 |
是的 |
这应该是一个非空字符串,例如 |
与VPN会话关联的帐户。如果帐户与与用户关联的任何已知帐户匹配,InsightIdr将将VPN会话属于该用户。 |
account_domain. |
不 |
该值必须为null或nonempty,例如 |
帐户的Active Directory域。 |
descriped_ip. |
是的 |
这必须是IPv4地址或IPv4映射IPv6地址。 |
此帐户的IP地址已在VPN会话的持续时间分配。 |
custom_data. |
不 |
必须是json对象。 |
使用此字段发送任何其他信息。此数据可用于日志搜索和LEQL查询。 |
vpn_session_ip_assigned与入口的必需字段
您可以选择使用vpn_session_ip_assigned事件发送以下附加字段,这使InsightIdr能够从此活动中检测和可视化入口活动:
- source_ip.
- 身份验证_target.
- Authentication_Result.
如果所有三个字段存在并有效(除常规VPN字段),Universal VPN事件源还将将通用VPN事件解释为VPN操作和如定义的入口活动。Rapid7 Universal Invress身份验证文档。
如果这三个字段中的一个或多个存在但缺少数据,InsightIdr将完全删除VPN和Ingress事件。
所有可选字段必须存在并有效,以便为VPN和Ingress事件进行接受。
场地 |
必需的? |
验证 |
描述 |
|---|---|---|---|
事件类型 |
是的 |
vpn_session_ip_assigned. |
这个通用事件的事件类型。 |
版本 |
是的 |
InsightIdr目前支持版本“v1”。 |
vpn_session_ip_assigned event_type的版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容: |
ISO 8601扩展时间戳。 |
帐户 |
是的 |
这应该是一个非空字符串,例如 |
与VPN会话关联的帐户。如果帐户与与用户关联的任何已知帐户匹配,InsightIdr将将VPN会话属于该用户。 |
account_domain. |
不 |
该值必须为null或nonempty,例如 |
帐户的Active Directory域。 |
descriped_ip. |
是的 |
这必须是IPv4地址或IPv4映射IPv6地址。 |
此帐户的IP地址已在VPN会话的持续时间分配。 |
source_ip. |
是的 |
这必须是IPv4地址或IPv4映射IPv6地址。 |
身份验证的源IP地址。InsightIdr只会考虑作为有效入口活动的公共/可路由IP的IP地址。 |
Authentication_Result. |
是的 |
这必须是“成功”或“失败”。 |
身份验证结果。 |
身份验证_target. |
是的 |
必须是每个应用程序或服务的唯一字符串值。字母数字字符,空格和字符 |
发生身份验证尝试的VPN的名称。在悬停在入口图标上时,会出现此字段的值。也可以是一般的价值 |
custom_data. |
不 |
必须是json对象。 |
有关VPN事件的其他信息,它不用于解释事件。将在ource_data中显示日志搜索。 |
vpn_session_termination的必填字段
当您终止VPN会话时,必须使用会话终止的帐户发送vpn_session_termination事件。一旦会话终止,InsightIdr将基于在启动会话时分配的IP地址将活动不再属于用户。
如果您的日志不包括生成VPN_Session_termination事件的必要信息,则当另一个vpn_session_ip_assigned事件观察IP时,将转移到新会话中的分配的IP。
场地 |
必需的? |
验证 |
描述 |
|---|---|---|---|
事件类型 |
是的 |
此字段必须是vpn_session_termination,以指示通用事件的类型。 |
这个通用事件的事件类型。 |
版本 |
是的 |
InsightIdr目前支持版本“v1”。 |
vpn_session_termination事件版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容: |
ISO 8601扩展时间戳。 |
帐户 |
是的 |
这应该是一个非空字符串,例如 |
与VPN会话关联的帐户。如果帐户与与用户关联的任何已知帐户匹配,则InsightIdr将为该用户找到任何现有的IP映射并将其删除。 |
account_domain. |
不 |
该值必须为null或nonempty,例如 |
帐户的Active Directory域。 |
custom_data. |
不 |
必须是json对象。 |
使用此字段发送任何其他信息。此数据可用于日志搜索和LEQL查询。 |
示例格式
您必须以UTF-8格式发送到InsightIdr收集器的事件,每个日志线代表单个事件,以及每次活动的换行符。
例如:{“event_type”:“vpn_session_ip_assigned”,“版本”:“v1”,“时间”:“2018-06-07T18:18:31.123z”,“帐户”:“jdoe”,“displayed_ip”:“10.6.100.40“,”source_ip“:”33.5.45.40“,”身份验证_result“:”成功“,”身份验证_target“:”Boston Office VPN“}
发送给InsightIdr的每个事件都不包含换行符;InsightIdr只允许聘请分隔单独的普遍事件。
以下是具有可读格式的通用VPN事件的一些示例:
1
{
2
“event_type”:“vpn_session_ip_assigned”,
3.
“版本”:“v1”,
4.
“时间”:“2018-06-07T18:18:31.123z”,
5.
“帐户”:“jdoe”,
6.
“Assegated_IP”:“10.6.100.40”,
7.
“source_ip”:“33.5.100.40”,
8.
“身份验证_result”:“成功”,
9.
“Authentication_target”:“Boston Office VPN”
10.
}
或者:
1
{
2
“event_type”:“vpn_session_ip_assigned”,
3.
“版本”:“v1”,
4.
“时间”:“2018-06-07T18:18:31.123z”,
5.
“帐户”:“jdoe”,
6.
“account_domain”:“corp”,
7.
“descriped_ip”:“10.6.100.40”
8.
}
或者:
1
{
2
“event_type”:“vpn_session_ip_assigned”,
3.
“版本”:“v1”,
4.
“时间”:“2018-06-07T18:18:31.123z”,
5.
“帐户”:“jdoe”,
6.
“account_domain”:“corp”,
7.
“Assegated_IP”:“10.6.100.40”,
8.
“custom_data”:{
9.
“核心价值”
10.
}
11.
}
12.
或者:
1
2
{
3.
“event_type”:“vpn_session_termination”,
4.
“版本”:“v1”,
5.
“时间”:“2018-06-07T18:18:31.123z”,
6.
“帐户”:“jdoe”,
7.
“account_domain”:“corp”
8.
}