LDAP

通过添加LDAP (Lightweight Directory Access Protocol)服务器，InsightIDR可以跟踪域中包含的用户、管理员和安全组。LDAP自动在所有LDAP服务器上镜像数据;因此，即使您有多个LDAP服务器，您也只需要配置一个LDAP事件源，除非您手动禁用了自动镜像特性。

如果您在环境中使用Azure，请单击此处．

在你开始之前

为了成功地配置LDAP事件源，您需要记录或更改环境中的一些内容。

1. 确保您拥有一个对域中的用户和组对象具有读访问权限的Active Directory帐户。
   • 您可以使用与收集活动目录事件源相同的帐户。
2. 如果您正在使用LDAP服务器，请确保在采集器和LDAP服务器之间打开636端口(LDAPS)。
   • 如果您只是使用LDAP，请确保在Collector和LDAP服务器之间打开端口389。
3. 根据您的环境需要，更改或保留默认的LDAP轮询周期。刷新率以小时为单位，默认为24小时。
4. 如果您的组织更改了默认的树结构，则配置BaseDN。如果您的组织没有改变默认的树配置，请忽略LDAP事件源配置中的Base DN字段。

如果您不知道如何配置Base DN，请参见使用说明在这里．

如何配置事件源

1. 从仪表板中选择数据收集在左边的菜单上。
2. 当出现“数据采集”页面时，单击设置事件源下拉选择添加事件源．
3. 从“用户属性”部分，单击LDAP图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 选择时区与事件源日志的位置匹配。
6. 在“Server”字段中，输入LDAP服务器(通常是域控制器)的IP地址或完全限定主机名。
7. 在“刷新率”字段中，输入以小时为单位的刷新率。
8. 2 .在“User Domain”中输入AD域。(NetBIOS / windows 2000之前的域名)
9. 选择执行LDAP查询的域管理凭据，或者可选创建一个新的凭证．
10. 在“Password”字段中，输入访问LDAP的密码。
11. 如果适用，请在“BaseDN”字段中输入Base Distinguished Name的值。
12. 如果可以，请在“admin group”字段中输入具有管理员权限的组名。
13. 点击保存．

Windows Domain Base DN

当您从您的Windows域使用Base Distinguished Name时，它应该引用LDAP树中包含用户数据的最顶端点。InsightIDR Collector使用为LDAP事件源提供的凭据收集用户信息。

但是，由于Microsoft Active Directory包含许多不同的变量，在配置LDAP事件源时，您可能需要尝试几个不同的变量作为Base DN:

• 选项1:不填写。在进行查询时，Collector将尝试自己查找Base DN。对于大多数域，Collector可以找到正确的参考点，并在不指定Base DN的情况下找到域中的所有用户。
• 选项2:提供Base DN。看到如何添加Base DN的指令。
• 选项3:提供您域的OU。但是，如果InsightIDR无法通过Base DN找到您所在域的所有用户，则只需使用OU填写Base DN字段即可。

查找并配置Base DN

Base Distinguished Name应该指向LDAP树中包含用户数据的最高处。如果您的组织改变了默认的树结构，或者您不确定，那么您必须找到并提供该值。

找到Base DN后，可以在LDAP服务器上配置它，以准确捕获用户数量。找到合适的根节点:

1. 登录LDAP服务器。这通常是要为其添加LDAP事件源的Windows域的控制器。
2. 启动Active Directory用户和计算机程序。
3. 右键单击该域对应的LDAP Base DN所在树中的节点。

每个Windows域都有一个Base DN，对应于以下位置之一:

• 域本身的专有名称
• 第一个OU列在树的顶部
• 从顶部开始的第一个包含用户对象的OU
• 内置Users OU

4. 选择属性选项卡。
5. 选择属性编辑器选项卡。
6. 复制“distinguishedName”值，粘贴到InsightIDR中LDAP事件源配置的Base DN字段中。

Azure和LDAP

根据您的环境中Azure的设置，您需要以不同的方式配置LDAP事件源。

混合云和On-prem

按照上面的说明，将LDAP配置为on-prem实例的普通事件源。

复制域如果您的域使用Azure Active Directory复制到云中，则不需要为云域配置额外的事件源。

不同的领域如果您的域没有使用Azure Active Directory复制到云中，您必须设置一个额外的LDAP事件源来覆盖您的云域。为此，请完成以下工作:

1. 准备一个VM在Azure域中运行InsightIDR Collector。您还可以使用它来检索域的身份验证活动。
2. 在InsightIDR中安装并注册收集器。
3. 如果托管您自己的域，请正常配置LDAP事件源，以从您的域控制器之一进行查询。
4. 如果使用Azure AD域服务，需要配置管理域控制器的LDAP。

管理域控制器的LDAP

1. 请确保运行采集器的虚拟机与已启用的Domain Services在同一子网中，或在可访问该Domain Services子网的子网中。
2. 在Azure门户中，转到“Azure AD域服务”资源。在"管理"部分，去属性页签，在虚拟网络中找到IP地址。

3. 注意已经存在于该域中的用户。或者，将一个新用户添加到您将要创建的LDAP事件源所在的域中。
   • 注意，这将强制重置密码，以便域控制器可以安全地存储新密码。更多信息请参阅Azure文档:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-getting-started-password-sync
4. 使用Azure门户中指定的IP地址在该收集器上创建LDAP事件源。
5. 使用步骤3中用户的凭据。
6. 在用户名字段中使用不带域名后缀的用户短名。
   • 例如，如果用户名是jsmith@myorg.example.com，简称为又该
7. 点击保存．

注意，要配置此事件源，虚拟机不需要加入域。