Rapid7通用入口认证
如果Rapid7不支持入口身份验证的日志格式,您仍然可以将数据发送到InsightIDR,只要您将日志转换为符合通用事件格式(UEF)约定。
进入身份验证是指可以观察到用户帐户从公共Internet上的IP身份验证到受保护系统的任何活动。例如,当用户帐户使用VPN登录,检查他们的手机电子邮件,或访问云服务,如谷歌Apps等。
InsightIDR将使用此活动进行事件检测(多个国家身份验证、从禁用帐户进入等)、进入位置地图和仪表板上的可视化,以及日志搜索中的调查。
必填字段
确保您的入口认证日志包含以下字段,以便您可以构造一个有效的UEF入口认证对象。违反UEF的对象将不会被InsightIDR吸收,并且日志搜索将不可用。
场 |
需要吗? |
验证 |
描述 |
|---|---|---|---|
event_type |
是的 |
该字段必须是INGRESS_AUTHENTICATION,以便指示通用事件的类型。 |
此通用事件的事件类型。 |
版本 |
是的 |
InsightIDR目前支持v1版本。 |
INGRESS_AUTHENTICATION event_type的版本。将来可能会添加新版本,并添加、删除或修改文档字段。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,毫秒精度,例如: |
ISO 8601扩展时间戳。 |
账户 |
是的 |
这应该是一个非空字符串,例如 |
与进入身份验证关联的帐户。如果该帐户与InsightIDR中与用户关联的任何已知帐户相匹配,则进入身份验证活动将归于该用户。 |
account_domain |
没有 |
该值必须为空或非空,例如 |
该帐户的Active Directory域。 |
source_ip |
是的 |
必须是IPv4地址或IPv4映射的IPv6地址。 |
认证的源IP地址。只有公网IP地址(路由IP)才会被认为是有效的入接口活动。 |
authentication_result |
是的 |
这必须是“成功”或“失败”。 |
身份验证的结果。 |
authentication_target |
是的 |
每个应用程序或服务必须是唯一的字符串值。字母数字字符、空格和字符 |
身份验证尝试的目标服务或应用程序。当将鼠标悬停在入口图标上时,此字段的值将出现。 |
custom_data |
没有 |
必须是一个JSON对象。 |
使用此字段发送任何附加信息。这些数据将用于日志搜索和LEQL查询。 |
例子的格式
您必须以UTF-8格式将事件发送到InsightIDR收集器,每个日志行表示单个事件,并用换行分隔每个事件。
例如,{"event_type":"INGRESS_AUTHENTICATION","version": "v1","time": "2018-06-07 t18: 18:18:31. 1z ","account":"jdoe","account_domain":"CORP","source_ip":"10.6.102.53","authentication_result": "SUCCESS","authentication_target":"Marketing Wiki"}
发送到InsightIDR的每个事件不能包含换行符。
下面是一些具有可读格式的通用入口认证事件的例子:
1
2
{
3.
“版本”:“v1”,
4
:“event_type INGRESS_AUTHENTICATION”,
5
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
6
“解释”:“jdoe”,
7
“account_domain”:“集团”,
8
:“source_ip 130.26.110.4”,
9
“authentication_result”:“成功”,
10
:“authentication_target营销Wiki”
11
}
12
或者:
1
{
2
“版本”:“v1”,
3.
:“event_type INGRESS_AUTHENTICATION”,
4
“时间”:“2018 - 06 - 07年t18:18:31.99z”,
5
“解释”:“jdoe”,
6
“account_domain”:“集团”,
7
:“source_ip 130.26.110.4”,
8
“authentication_result”:“失败”,
9
“authentication_target”:“营销Wiki”,
10
" custom_data ": {
11
:“arbitrary_field arbitrary_value”,
12
“arbitrary_number”:123
13
}
14
}
15