变焦职业

使用Zoom Pro,您可以将报告和活动发送到InsightIdr,以跟踪和生成根据用户登录和注销活动的警报。InsightIdr支持此事件源的JSON Web令牌(JWT)身份验证方法。

要设置此事件源,您需要:

  1. 在你开始之前并注意任何要求。
  2. 在Insutigridr中设置zoom pro
  3. 验证配置工作

在你开始之前

在InsightIDR中设置Zoom Pro

  1. 从左菜单,转到数据收集
  2. 当出现“数据采集”页面时,单击设置事件源下拉点和选择添加事件源
  3. 从云服务部分,单击飞涨图标。将出现“添加事件源”面板。
  4. 选择收集器和事件源。你可以编辑显示名称如果需要,您的活动源。
  5. 选择“凭据下拉菜单”,然后选择创建新的从选项。
  6. 为您的凭据命名,并为JWT应用程序输入API密钥和API秘密。
  7. 点击保存

验证配置

完成以下步骤以查看您的日志,并确保事件将其交给收集器。在刚刚创建的新事件源上,单击“查看原始日志”按钮。如果在框中看到日志消息,则显示日志正在流到收集器。接下来,单击左侧菜单中的日志搜索。选择适用的日志集和它们中的日志名称。如果您没有命名事件源,则日志名称将是事件源名称或“zoom pro”。Zoom Pro日志流入入口身份验证日志集。

日志至少需要7分钟才能出现在日志搜索中

请注意,在设置事件源后,日志将在日志搜索中显示至少7分钟。如果在等待几分钟后选择查看事件源时查看原始日志的日志搜索后的日志消息,则在等待几分钟后显示,则您的日志与此事件的推荐格式和类型不匹配来源。

样本登录日志

         
json
1
“电子邮件”“user@rapid7.com”“时间”“2020 - 05 - 06 - t09:51:36z”“类型”“登入”“ip_address”“123.45.67.89”“client_type”“浏览器”“版本”“-”

样本签出日志

         
json
1
“电子邮件”“user@rapid7.com”“时间”“2020-05-14T11:31:07z”“类型”“签出”“ip_address”“123.45.67.89”“client_type”“浏览器”“版本”“-”

故障排除

如果您未按预期看到insightIdr的日志,请注意,入口身份验证事件特定于组织内部网络外部启动的身份验证活动。在内部网络内启动的身份验证活动将不会在入口身份验证日志集中。

  1. 从InsightIdr left菜单,点击数据收集
  2. 点击活动来源选项卡。然后在列表中查找Zoom事件源。
  3. 点击查看原始日志.如果框中没有显示数据,则表示InsightIDR没有收集任何事件。您可能需要在Zoom应用程序中生成一些事件。
  4. 看看收藏家的收藏收藏家.Log.错误诊断日志。该日志文件将位于采集器计算机硬盘驱动器上安装采集器软件所在的文件夹中。