微软IAS(半径)

Microsoft Network Policy Server (NPS),以前称为Internet Authentication Service (IAS),是RADIUS (remote-authentication-dial-in-user Service)的实现。RADIUS服务器可以执行身份验证、授权和VPN连接等功能。

您必须将NPS配置为将其日志发送到一个日志文件,然后InsightIDR可以跟踪和接收该日志文件。

使用NPS开始日志记录:

  1. 运行RADIUS会计向导
  2. 配置NPS日志文件属性
  3. 在insightid中配置Microsoft IAS

微软NPS仅在Windows机器上可用。

运行RADIUS会计向导

Network Policy Server可以以多种方式记录其数据,因此您必须在日志记录“Accounting”向导中指出NPS应该将日志发送到日志文件。

这样做:

  1. 在您的Windows机器上,导航到启动>系统和安全>管理工具>网络策略服务器
  2. 点击配置会计链接。
  1. 选择第二个选项,“日志到本地计算机上的文本文件”。
  2. 点击下一个按钮。
  1. 在“Logging Information”下,检查将被记录到文本文件中的所有四种信息类型。
    • 可选地选中日志的“Logging Failure”复选框,以便在日志记录失败期间忽略连接请求。
  2. 在“日志文件目录”字段中,单击浏览按钮打开“logfiles”默认路径。
  1. 点击制作一个新文件夹按钮并将文件夹命名,例如“NPS日志”。点击按钮。
  1. 点击下一个按钮。
  2. 查看NPS计费向导的“摘要”部分。点击下一个按钮。
  3. 点击结束按钮。

配置NPS日志文件属性

成功完成会计向导后,必须配置NPS日志文件的日志属性。

这样做:

  1. 在您的Windows机器上,导航到启动>系统和安全>管理工具>网络策略服务器
  2. 点击更改日志文件属性链接。
  3. 在“设置”选项卡上,您将看到会计向导中配置的相同信息。选择日志文件标签。
  1. 在“格式”下,选择要使用的日志格式。InsightIDR接受DTS Compliant格式。
  2. 在“创建新日志文件”下,选择您希望Windows机器创建新日志文件的频率,或者文件必须有多大。
  3. 可选择选择磁盘已满时删除旧日志文件。
  4. 点击应用按钮,然后按按钮。

更多信息,你可以在这里阅读微软关于NPS日志配置的文档:https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-accounting-configure#configure-nps-log-file-properties

在Insutigridr中配置Microsoft IAS(RADIUS)

现在您必须配置InsightIdr事件源。

这样做:

  1. 从仪表板中选择数据收集在左边的菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源码
  3. 在“安全数据”部分,单击VPN图标。出现“添加事件源”面板。
  4. 选择您的收集器并选择微软IAS(半径)作为你的活动来源。如果需要,还可以命名事件源。
  5. 选择时区它与事件源日志的位置相匹配。
  6. 可选发送未经过滤的日志
  7. 配置您的默认域和任何高级设置
  8. 选择看目录身为你的数据收集方法然后勾选复选框观看共享远程目录。
  9. 选择Windows机器的现有凭据或可选创建一个新的凭据
  10. 输入RADIUS计费向导中配置的文件夹路径。
  11. 输入InsightIDR检查文件路径的时间间隔。
  12. 可选择选择包含日志文件的文件模式。
  13. 点击保存按钮。