Rapid7通用入口认证

如果Rapid7不支持入口身份验证的日志格式,您仍然可以将数据发送到InsightIDR,只要您将日志转换为符合通用事件格式(UEF)约定。

进入身份验证是指可以观察到用户帐户从公共Internet上的IP身份验证到受保护系统的任何活动。例如,当用户帐户使用VPN登录,检查他们的手机电子邮件,或访问云服务,如谷歌Apps等。

InsightIDR将使用此活动进行事件检测(多个国家身份验证、从禁用帐户进入等)、进入位置地图和仪表板上的可视化,以及日志搜索中的调查。

需要帮助转换日志吗?

请在此阅读转换日志的说明Rapid7博客转换日志到UEF帮助页面。

必填字段

确保您的入口认证日志包含以下字段,以便您可以构造一个有效的UEF入口认证对象。违反UEF的对象将不会被InsightIDR吸收,并且日志搜索将不可用。

需要吗?

验证

描述

event_type

是的

该字段必须是INGRESS_AUTHENTICATION,以便指示通用事件的类型。

此通用事件的事件类型。

版本

是的

InsightIDR目前支持v1版本。

INGRESS_AUTHENTICATION event_type的版本。将来可能会添加新版本,并添加、删除或修改文档字段。

时间

是的

必须是有效的ISO 8601扩展时间戳,毫秒精度,例如:
yyyy-MM-ddTHH: mm: SS。SSSZ

ISO 8601扩展时间戳。

账户

是的

这应该是一个非空字符串,例如jdoe

与进入身份验证关联的帐户。如果该帐户与InsightIDR中与用户关联的任何已知帐户相匹配,则进入身份验证活动将归于该用户。

account_domain

没有

该值必须为空或非空,例如集团

该帐户的Active Directory域。

source_ip

是的

必须是IPv4地址或IPv4映射的IPv6地址。

认证的源IP地址。只有公网IP地址(路由IP)才会被认为是有效的入接口活动。

authentication_result

是的

这必须是“成功”或“失败”。

身份验证的结果。

authentication_target

是的

每个应用程序或服务必须是唯一的字符串值。字母数字字符、空格和字符_ -()。在此字符串中有效。

例如,营销维基

身份验证尝试的目标服务或应用程序。当将鼠标悬停在入口图标上时,此字段的值将出现。

custom_data

没有

必须是一个JSON对象。

使用此字段发送任何附加信息。这些数据将用于日志搜索和LEQL查询。

例子的格式

您必须以UTF-8格式将事件发送到InsightIDR收集器,每个日志行表示单个事件,并用换行分隔每个事件。

例如,{"event_type":"INGRESS_AUTHENTICATION","version": "v1","time": "2018-06-07 t18: 18:18:31. 1z ","account":"jdoe","account_domain":"CORP","source_ip":"10.6.102.53","authentication_result": "SUCCESS","authentication_target":"Marketing Wiki"}

发送到InsightIDR的每个事件不能包含换行符。

下面是一些具有可读格式的通用入口认证事件的例子:

         
1
2
3.
“版本”:“v1”,
4
:“event_type INGRESS_AUTHENTICATION”,
5
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
6
“解释”:“jdoe”,
7
“account_domain”:“集团”,
8
:“source_ip 130.26.110.4”,
9
“authentication_result”:“成功”,
10
:“authentication_target营销Wiki”
11
}
12

或者:

         
1
2
“版本”:“v1”,
3.
:“event_type INGRESS_AUTHENTICATION”,
4
“时间”:“2018 - 06 - 07年t18:18:31.99z”,
5
“解释”:“jdoe”,
6
“account_domain”:“集团”,
7
:“source_ip 130.26.110.4”,
8
“authentication_result”:“失败”,
9
“authentication_target”:“营销Wiki”,
10
" custom_data ": {
11
:“arbitrary_field arbitrary_value”,
12
“arbitrary_number”:123
13
}
14
}
15