Box.com

Box.com是面向企业的云存储服务。您可以仅为企业订阅配置Box事件源,而不能为个人或业务订阅配置。

Box.com使用开放式身份验证(OAuth)授权InsightIDR从其服务器收集活动日志。为了读取Box.com日志,收集器需要能够连接到https://api.box.com

收集的数据

在Box.com集成中,InsightIDR定期调查以下信息:

  • 将它们映射回域用户,并将ActiveDirectory和Box.com活动联系在一起
  • 最近Box.com的“事件”用于获取身份验证和管理活动

在InsightIDR中,您将看到:

  • 在你的“位置”地图上进入Box.com的活动,就好像用户正在登录到你的内部网络
  • 在你的“管理员”页面上管理活动(通常是帐户更改活动——创建新帐户,删除帐户等)
  • 在InsightIDR中,看到正在执行管理活动的用户会得到一个“Box Admin”标签
  • 可能会产生几个事件:
  • 从禁用的帐户进入(用户不再是公司的一部分,但仍然登录到Box)
  • 收获的证书
  • 多国家认证
  • 进入的威胁

如果您在Firefox中运行InsightIDR,请确保在配置Box.com事件源之前启用弹出窗口。

如何配置事件源

为了从Box.com收集数据,您需要授权InsightIDR在这一次设置期间访问您的Box.com管理员帐户。

配置该事件源。

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击云服务图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择发送未经过滤的日志
  6. 单击“开始”按钮开始OAUTH授权过程。
  7. 将打开一个新窗口或选项卡,您可以使用Box执行授权。
  8. 登录到Box.com并单击允许
  9. 关闭窗口/选项卡以返回InsightIDR。
  10. 配置您的默认域
  11. 点击拯救

将应用程序连接到框

应用程序使用OAuth(一种开源身份验证标准)连接到Box。还有一些Box SDK,其中包括Box使用的OAuth2授权的实现,或者您可能会发现有用的多种语言的客户端库。

阅读这个链接获取更多信息:https://developer.box.com/reference#oauth-2-概述

故障排除

如果您遇到Box.com问题,请参阅下面的疑难解答信息。

错误:管理员已禁用应用程序

如果您试图连接InsightIDR到Box.com,但遇到一个错误消息,您可能需要允许InsightIDR作为一个应用程序。

在你开始之前

确保您已获得Rapid7 API密钥。

如何允许InsightIDR在框中列出

要允许在方框中列出InsightIDR,请按照这里的说明(https://support.box.com/hc/en-us/articles/360043691294-Restricting-Applications-from-the-Admin-Console).

https://support.box.com/hc/en-us/articles/360044195053-Disabled-by-Administrator-Cannot-Use-Application有关此解决方案的更多信息。