Box.com
Box.com是面向企业的云存储服务。您可以仅为企业订阅配置Box事件源,而不能为个人或业务订阅配置。
Box.com使用Open Authentication (OAuth)授权InsightIDR从他们的服务器收集活动日志。为了读取Box.com日志,收集器需要能够连接到https://api.box.com.
收集的数据
在Box.com集成中,InsightIDR轮询定期进行以下信息:
- box.com“用户”将它们映射回域用户并连续绑定活动和box.com活动
- 最近Box.com“事件”拉认证和管理活动
在InsightIdr,你会看到:
- 在你的“位置”地图上进入Box.com的活动,就好像用户正在登录到你的内部网络
- 在你的“管理员”页面上管理活动(通常是帐户更改活动——创建新帐户,删除帐户等)
- 在InsightIDR中,被看到进行管理活动的用户会得到一个“Box Admin”标签
- 可能会产生几个事件:
- 禁用帐户的入口(用户不再是公司的一部分,但仍然登录框)
- 收获的凭证
- 多个国家认证
- 威胁
如果您在Firefox中运行InsightIdr,请确保在配置Box.com事件源之前启用弹出窗口。
如何配置事件源
为了从Box.com收集数据,您需要授权InsightIDR在此一次设置期间访问您的Box.com管理员帐户。
配置该事件源。
- 从仪表板中选择数据收集在左边的菜单上。
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从“安全数据”部分,单击云服务图标。出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 选择发送未经过滤的日志.
- 点击“开始”按钮启动OAUTH授权过程。
- 将打开一个新窗口或选项卡,您可以使用Box执行授权。
- 登录到Box.com并单击允许.
- 关闭窗口/选项卡,返回InsightIDR。
- 配置您的默认域.
- 点击保存.
将应用程序连接到框
应用程序使用OAuth(一种开源身份验证标准)连接到Box。还有一些Box sdk,包括Box使用的OAuth2授权的实现,或者您可能会发现有用的多种语言的客户端库。
阅读这个链接获取更多信息:https://developer.box.com/reference#oauth-2-overview.
故障排除
如果您在使用Box.com时遇到问题,请参阅下面的故障排除信息。
错误:应用程序被管理员禁用
如果您尝试将InsightIdr连接到box.com,但遇到错误消息,则可能需要将InsightIdr作为应用程序。
在你开始之前
已获取Rapid7 API密钥。
如何允许列表InsightIDR在框
要允许在方框中列出InsightIDR,请按照这里的说明(https://support.box.com/hc/en-us/articles/360043691294-Restricting-Applications-from-the-Admin-Console)。
读https://support.box.com/hc/en-us/articles/360044195053-Disabled-by-Administrator-Cannot-Use-Application有关此解决方案的更多信息。