只读域控制器
域控制器是Windows域上响应安全与认证请求(如资产登录、权限更改和用户验证)的服务器。
在某些环境中,可以将域控制器设置为“只读”模式。这些域控制器本身不执行身份验证,而是代表端点向环境中的其他域控制器发送身份验证请求。
当在活动域控制器和请求身份验证的端点之间执行此代理服务时,只读域控制器将其自己的IP地址注入作为请求的源IP,替换端点的源IP。
您应该立即将端点的IP地址替换为只读域控制器的IP地址作为事件的源IP,因为这可能会对InsightIDR的用户行为分析产生有害影响。它可能在您的环境中以横向移动、可疑身份验证或其他误报的形式出现。
标记只读域控制器
为了防止端点IP地址替换,您可以添加只读域控制器列表,以便InsightIDR不会意外地将IP地址分配给端点和资产。
添加只读域控制器列表:
- 登录InsightIDR。
- 在左边的菜单上,选择设置页面。
- 选择只读域控制器从列表中选取一页。
- 输入域控制器的IP地址,然后单击添加IP按钮。
- 单击保存按钮。
您的Active Directory域控制器将不再被分配不正确的IP地址。
这个页面对你有帮助吗?