DHCP.

DHCP是InsightIdr中的基础事件源之一,这意味着对用户归因来说至关重要。DHCP服务器将IP地址租用到网络上的端点;Insutigridr监控这些租赁活动,允许工具将IP地址映射回到环境中的主机名。了解这些关系至关重要,因为许多其他事件源只能在其日志中包含IP地址。使用DHCP数据,InsightIdr将自动将IP地址与端点相关联。

InsightIdr将通过Insight Agent加强主机名至IP映射。必威体育app登录

在您的环境中使用Azure?点击这里查看更多信息

在你开始之前

您必须在开始收集DHCP日志之前进行几件事。

首先,决定如何收集DHCP日志:

然后,决定如何解决以下问题:

进行以下决策后,您可以配置其中一个InsightIdr DHCP事件源:

DHCP服务器通过Watch目录日志

Insidota2必威联赛ght平台可以收集DHCP审核日志。要准备收集DHCP审计跟踪,需要将DHCP日志写入收集器可以连接为网络共享的文件夹中。此文件夹应从默认位置更改,并仅包含DHCP日志。

请勿使用默认文件夹位置。

如果使用默认文件夹,则此文件夹中还将存在其他DHCP二进制文件,导致InsightIdr DHCP事件源在尝试读取这些文件时产生警告。这可能会扰乱Microsoft DHCP服务。

Rapid7建议DHCP日志记录的文件夹驻留在托管DHCP的服务器的根(C)驱动器上。例如,C:\ dhcplogs

要开始收集DHCP服务器日志:

  1. 为DHCP日志创建一个文件夹。C:\ dhcplogs是用于存储DHCP日志的推荐目录。
  2. 右键单击该文件夹并选择特性从下拉菜单。
  3. 在“属性”对话框中,单击“属性”对话框分享标签然后单击高级共享按钮。
  4. 在“高级共享”对话框中,选择共享这个文件夹然后点击权限按钮。5在“共享权限”对话框中,单击“添加按钮并提供访问此文件的凭据。在设置DNS事件源时,请在InsightIdr中包含此凭据的用户名和密码。
  5. 启动DHCP控制台。
  6. 右键点击IPv4.,选择特性从下拉菜单。
  1. 点击先进的标签。在“审核日志文件路径”字段中,将目标文件夹更改为存储DHCP日志的文件夹。

如何使用Watch目录配置此事件源

在InsightIdr中,您可以配置DHCP事件源通过UNC符号(通用命名约定)读取共享文件夹,并通过提供设置共享文件夹时使用的凭据。

  1. 从您的仪表板,选择数据采集在左手菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源
  3. 从“安全数据”部分,单击DHCP.图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择时区,并可选择仅显示我们的时区。
  6. 可选择选择发送未经过滤的日志
  7. 配置任何高级事件源设置
  8. 选择观察目录作为您的集合方法。
  9. 指定您配置的文件夹路径,然后输入扫描间隔。
  10. 可选地,文件模式并观看共享远程目录,例如dhcpsrvlog * .log.
  11. 点击节省

DHCP通过syslog日志

在设置DHCP事件源以侦听网络端口之前,请确保DHCP主机正在记录所有DHCP活动。

此外,请确保将DHCP主机配置为将日志发送到唯一UDP或TCP端口上的收集器(以上1024),并通过将其指定为syslog服务器。

如何使用syslog配置此事件源

  1. 从您的仪表板,选择数据采集在左手菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉点和选择添加事件源
  3. 从“安全数据”部分,单击DHCP.图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择时区,并可选择仅显示我们的时区。
  6. 可选择选择发送未经过滤的日志
  7. 配置任何高级事件源设置
  8. 选择聆听网络端口并指定端口和协议。
    • 如果通过下载通过下载TCP,可选择选择加密事件源rapt7证书
  9. 点击节省

DHCP覆盖范围

在完整部署中,您需要为环境中的所有DHCP服务器配置DHCP事件源。如果您发现日志搜索中的资产或用户的未知值(例如在下面的屏幕截图中),通常是由于缺少DHCP数据。

未知的IP地址

当可能时,配置额外的DHCP事件源和/或端点监控,以便InsightIdr可以将这些IP地址与主机名相关联。

IP地址想要查询更多的信息。

Azure和DHCP.

对于InsightIdr,用户归属依赖于准确和最新的主机名到IP映射,该IP映射通常由DHCP服务器提供。虽然Azure确实具有API来提供所有Azure主机的列表和相应的IP地址,但API不会实时更新,因此不能用于InsightIdr中的归因。

为了在Azure环境中归属资产,您必须安装洞察格代必威体育app登录理人,在Azure环境中的所有资产上,并在Azure网络中配置收集器以将代理日志传送到InsightIdr(未在该收集器上安装任何事件源以支持Insight代理)。必威体育app登录代理将为已安装的资产提供最新的主机名至IP信息。

故障排除配置问题

如果DHCP或DNS事件源遇到错误,则事件源图标将转到黄色警告或红色失败。将鼠标移动在图标上方将显示错误的细节。此类的典型错误无法连接到服务器,不良凭据或未能找到事件源中配置的文件或文件夹。

有时,即使它们没有显示警告或错误,DHCP和DNS事件源也可能无法读取任何日志。在这种情况下,尝试以下测试。

  • 您可以在登录运行InsightIdr收集器的计算机时连接到DHCP或DNS服务器文件共享吗?
  • DHCP配置中的文件模式是否有拼写错误?如果文件模式错误,则目录中的任何文件都不会匹配。
  • SRV.SYS已设置为在服务器上开始按需启动吗?SRV.SYS应设置为按需开始。有关更多信息,请阅读srv.sys。