基础事件来源

事件源是生成日志事件的应用程序，设备，服务器，服务或其他IT资产。收集器捕获这些事件源生成的数据，压缩数据，加密它，并将其推到Insight平台。dota2必威联赛然后，Idota2必威联赛nsight平台将正常化，属性，分析和显示搜索数据。

基础事件源在用户归属中提供了最多的数据。用户归属将端点活动与单个用户关联，包括它们使用的端点应用程序以及何时。归因为您提供了安全姿势的更完整的形象，因为用户帐户是复杂攻击最常见的目标。

基本的事件来源是:

• LDAP
• 活动目录
• DHCP.

配置以下后，您也可以准备其他事件源。

LDAP

添加轻量级目录访问协议(LDAP)服务器允许InsightIDR跟踪域中包含的用户、管理员和安全组，并将帐户活动与真实用户链接，以识别特权帐户和服务帐户。

如果启用自动镜像功能，LDAP会在所有LDAP服务器上自动镜像数据。即使您有多个LDAP服务器，您也只需要配置一个LDAP事件源。

添加LDAP事件源。

1. 指定一个服务账户正确的权限。
2. 收集器和LDAP服务器之间的打开端口636（LDAPS）。

看LDAP为更多的信息。

活动目录

Active Directory提供来自域控制器的安全日志以及域用户的身份验证和管理事件。请确保为每个域控制器添加一个Active Directory事件源。

从该事件源收集日志。

1. 打开采集器与Active Directory之间的135、139和445端口。
2. 指定一个服务账户正确的权限。

看活动目录为更多的信息。

DHCP.

动态主机配置协议（DHCP）事件日志提供IP租赁信息，以将每个IP地址与其分配的主机在事件时相关联。

看DHCP.为更多的信息。

对于非microsoft相关的DHCP应用，通常可以配置将syslog发送到InsightIDR。学习怎样。

准备其他活动来源

除了用户属性事件源之外，您还可以将额外的高价值日志输入到InsightIDR平台。这些附加事件允许您在整个环境中搜索和分析数据。

如果可能，请连接以下所有类型的事件源：

• 防火墙
• VPN.
• 电子邮件& ActiveSync
• id
• 云服务
• 病毒扫描
• 先进的恶意软件
• Web代理

看看InsightIDR事件源页面以获取完整列表。要配置事件源，您可以手动创建它们或使用InsightIdr汽车配置特征。