只读域控制器

域控制器是Windows域上响应安全与认证请求(如资产登录、权限更改和用户验证)的服务器。

在某些环境中,可以将域控制器设置为“只读”模式。这些域控制器本身不执行身份验证,而是代表端点向环境中的其他域控制器发送身份验证请求。

当在活动域控制器和请求身份验证的端点之间执行此代理服务时,只读域控制器将其自己的IP地址注入作为请求的源IP,替换端点的源IP。

您应该立即将端点的IP地址替换为只读域控制器的IP地址作为事件的源IP,因为这可能会对InsightIDR的用户行为分析产生有害影响。它可能在您的环境中以横向移动、可疑身份验证或其他误报的形式出现。

标记只读域控制器

为了防止端点IP地址替换,您可以添加只读域控制器列表,以便InsightIDR不会意外地将IP地址分配给端点和资产。

添加只读域控制器列表:

  1. 登录InsightIDR。
  2. 在左边的菜单上,选择设置页面。
  3. 选择只读域控制器从列表中选取一页。
  4. 输入域控制器的IP地址,然后单击添加IP按钮。
  5. 单击保存按钮。

您的Active Directory域控制器将不再被分配不正确的IP地址。