汽车配置

InsightIDR能够自动发现和配置某些源(通过WMI的Active Directory;LDAP;Microsoft DHCP和DNS通过网络共享)。自动配置对基础资源特别有帮助,因为核心用户属性引擎可以在几分钟内设置。

您可以运行自动配置特性来发现事件源,而无需配置这些事件源本身。这种做法有助于发现环境中任何新部署的、尚未配置为监控的服务器。

在你开始之前

您必须首先部署并激活收集器。看到采集器安装部署的指令。

另外,请确保在请求的DHCP和DNS服务器上配置了日志记录和网络共享,以启用日志收集。

对于DHCP和DNS服务器,InsightIDR只能在运行Windows 2008、Windows Vista或更高版本的服务器上自动配置这些事件源。

使用自动配置

  1. 导航到InsightIDR主页。
  2. 选择数据收集,然后选择设置事件源下拉菜单。选择添加事件源
  3. 选择汽车配置图标。
  1. 提供域管理服务帐户凭证,用于InsightIDR自动发现和配置事件源。证书必须以2000年以前的格式输入(域名\用户名)。
  1. 如果您的Active Directory环境包含多个域,请在下面的框中输入它们,用逗号分隔。
    • 如果您只有一个域,请忽略此字段,因为域应该已经在凭据中指定。看到多域环境为更多的信息。
  2. 单击发现按钮开始发现事件源。这将允许InsightIDR使用您的Collector主机和管理凭据来枚举环境中的服务器主机,包括Microsoft域控制器、DHCP服务器和DNS服务器。

这可能需要一到两分钟,但您应该会看到事件源出现在后台。然后,将出现已发现事件源页面,其中包含事件源服务器主机列表。7.选择您希望InsightIDR自动配置的事件源。

对于初始配置,Rapid7建议从逻辑上靠近收集器的服务器连接所有Active Directory源和一个LDAP源。

这些事件源不需要更改配置。除进行LDAP查询以查找有关用户的信息外,收集器还将使用管理凭证通过WMI从Active Directory提取事件。

您还可以自动配置Microsoft DHCP和DNS,但是为了将日志保存到专用文件夹,它们需要更改配置。看到DHCPDNS有关创建审计日志文件夹的信息。

  1. 选择所有你想要自动设置的,然后点击配置按钮。在显示“事件源创建”之前,每个源应该简短地显示“配置”。如果源显示错误,则可能需要手动创建事件源。
  2. 在至少对Active Directory和LDAP进行绿色检查之后,就可以了关闭自动配置窗口,并返回到常规事件源设置。

Linux汽车配置

在Linux操作系统下,InsightIDR能够发现所有的服务器类型,并配置LDAP和Active Directory事件源。但InsightIDR不能配置或创建Microsoft DHCP或DNS源。

故障排除

遥不可及的来源

如果标识了Collector无法访问的源,则将将其标记为这样的源。

在逻辑上靠近源部署另一个Collector,并重新运行Auto Configure向导来设置这些事件源,或调整防火墙规则以允许Collector与事件源通信。

有困难吗?

检查collector.log文件以查看所有Collector活动的列表,包括尝试的端口。