Rapid7 Universal VPN.
如果RAPIT7不支持VPN解决方案的日志记录格式,您仍然可以将数据发送到InsightIDR的用户行为分析引擎中,只要转换日志以满足此通用事件格式(UEF)合同。
Universal VPN事件源支持多种事件类型:
- vpn_session_ip_assigned.
- VPN_SESSION_TERMINATION
需要帮助转换日志?
阅读有关转换日志的说明Rapid7博客文章或者在转换日志到UEF帮助页面。
vpn_session_ip_assigned的必填字段
启动VPN会话时,必须使用分配给帐户的特定IP地址发送InsightIdr a vpn_session_ip_assigned事件。
当多个用户账号使用同一个IP时,不建议从设备发送VPN会话事件。
InsightIdr只支持在整个VPN会话中固定到单个用户时监视VPN会话,然后当VPN会话终止时返回到池。如果不遵循这一点,它将导致产品中的意外行为和检测。
场地 |
必需的? |
验证 |
描述 |
|---|---|---|---|
event_type |
是的 |
vpn_session_ip_assigned. |
这个通用事件的事件类型。 |
版本 |
是的 |
InsightIdr目前支持版本“v1”。 |
vpn_session_ip_assigned event_type的版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容: |
ISO 8601扩展时间戳。 |
帐户 |
是的 |
这应该是一个非空字符串,例如 |
VPN会话关联的帐号。如果帐户与与用户关联的任何已知帐户匹配,InsightIdr将将VPN会话属于该用户。 |
account_domain |
没有 |
该值必须为null或nonempty,例如 |
该帐户的Active Directory域。 |
assigned_ip |
是的 |
必须是IPv4地址或IPv4映射的IPv6地址。 |
该帐户在VPN会话期间被分配的IP地址。 |
custom_data |
没有 |
必须是json对象。 |
使用此字段发送任何附加信息。这些数据将用于日志搜索和LEQL查询。 |
vpn_session_ip_assigned与入口的必需字段
您可以选择使用VPN_SESSION_IP_ASSIGNED事件发送以下附加字段,这使InsightIDR能够检测和可视化该事件的进入活动:
- source_ip.
- authentication_target
- authentication_result
如果所有三个字段存在并有效(除常规VPN字段),Universal VPN事件源还将将通用VPN事件解释为VPN操作和如定义的入口活动。Rapid7 Universal Invress身份验证文档。
如果这三个字段中的一个或多个存在但缺少数据,InsightIdr将完全删除VPN和Ingress事件。
所有可选字段必须存在并有效,以便为VPN和Ingress事件进行接受。
场地 |
必需的? |
验证 |
描述 |
|---|---|---|---|
event_type |
是的 |
vpn_session_ip_assigned. |
这个通用事件的事件类型。 |
版本 |
是的 |
InsightIDR目前支持版本“v1”。 |
vpn_session_ip_assigned event_type的版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容: |
ISO 8601扩展时间戳。 |
帐户 |
是的 |
这应该是一个非空字符串,例如 |
VPN会话关联的帐号。如果帐户与与用户关联的任何已知帐户匹配,InsightIdr将将VPN会话属于该用户。 |
account_domain |
没有 |
该值必须为null或nonempty,例如 |
该帐户的Active Directory域。 |
assigned_ip |
是的 |
必须是IPv4地址或IPv4映射的IPv6地址。 |
该帐户在VPN会话期间被分配的IP地址。 |
source_ip. |
是的 |
必须是IPv4地址或IPv4映射的IPv6地址。 |
身份验证的源IP地址。InsightIdr只会考虑作为有效入口活动的公共/可路由IP的IP地址。 |
authentication_result |
是的 |
这必须是“成功”或“失败”。 |
身份验证的结果。 |
authentication_target |
是的 |
必须是每个应用程序或服务的唯一字符串值。字母数字字符,空格和字符 |
发生身份验证尝试的VPN的名称。在悬停在入口图标上时,会出现此字段的值。也可以是一般的价值 |
custom_data |
没有 |
必须是json对象。 |
有关VPN事件的其他信息,它不用于解释事件。将在ource_data中显示日志搜索。 |
VPN_SESSION_TERMINATION的必选字段
终止VPN会话时,需要向终止会话的帐号发送VPN_SESSION_TERMINATION事件。一旦会话被终止,InsightIDR将不再根据初始化会话时分配的IP地址将活动属性指定给用户。
如果您的日志不包括生成VPN_Session_termination事件的必要信息,则当另一个vpn_session_ip_assigned事件观察IP时,将转移到新会话中的分配的IP。
场地 |
必需的? |
验证 |
描述 |
|---|---|---|---|
event_type |
是的 |
该字段必须是vpn_session_terminate,以表示通用事件的类型。 |
这个通用事件的事件类型。 |
版本 |
是的 |
InsightIdr目前支持版本“v1”。 |
vpn_session_termination事件版本。未来可能会添加新版本,其中包含已记录的字段,删除或修改。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容: |
ISO 8601扩展时间戳。 |
帐户 |
是的 |
这应该是一个非空字符串,例如 |
VPN会话关联的帐号。如果该帐户与与某个用户相关联的任何已知帐户相匹配,InsightIDR将查找该用户的任何现有IP映射并删除它们。 |
account_domain |
没有 |
该值必须为null或nonempty,例如 |
该帐户的Active Directory域。 |
custom_data |
没有 |
必须是json对象。 |
使用此字段发送任何附加信息。这些数据将用于日志搜索和LEQL查询。 |
例子的格式
您必须以UTF-8格式发送到InsightIdr收集器的事件,每个日志线代表单个事件,以及每次活动的换行符。
例如:{“event_type”:“vpn_session_ip_assigned”,“版本”:“v1”,“时间”:“2018-06-07T18:18:31.123z”,“帐户”:“jdoe”,“displayed_ip”:“10.6.100.40“,”source_ip“:”33.5.45.40“,”身份验证_result“:”成功“,”身份验证_target“:”Boston Office VPN“}
发送给InsightIdr的每个事件都不包含换行符;InsightIdr只允许聘请分隔单独的普遍事件。
以下是具有可读格式的通用VPN事件的一些示例:
1
{
2
“event_type”:“vpn_session_ip_assigned”,
3.
“版本”:“v1”,
4.
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
5.
“帐户”:“jdoe”,
6.
“Assegated_IP”:“10.6.100.40”,
7.
:“source_ip 33.5.100.40”,
8.
“身份验证_result”:“成功”,
9.
“Authentication_target”:“Boston Office VPN”
10
}
或者:
1
{
2
“event_type”:“vpn_session_ip_assigned”,
3.
“版本”:“v1”,
4.
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
5.
“帐户”:“jdoe”,
6.
“account_domain”:“集团”,
7.
:“assigned_ip 10.6.100.40”
8.
}
或者:
1
{
2
“event_type”:“vpn_session_ip_assigned”,
3.
“版本”:“v1”,
4.
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
5.
“帐户”:“jdoe”,
6.
“account_domain”:“集团”,
7.
“Assegated_IP”:“10.6.100.40”,
8.
“custom_data”:{
9.
“核心价值”
10
}
11
}
12
或者:
1
2
{
3.
“event_type”:“vpn_session_termination”,
4.
“版本”:“v1”,
5.
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
6.
“帐户”:“jdoe”,
7.
“account_domain”:“corp”
8.
}