UserID-агент для AD- и WEC-серверов — это программный компонент, который устанавливается на сервере — контроллере домена или на сервере WEC (Windows Event Collector). Агент считывает необходимую для идентификации пользователя информацию из журналов безопасности Windows и пересылает ее в формате syslog в коллектор UserID на устройствах UserGate Log Anаlyzer или UserGate NGFW.

Основные функции UserID-агента для AD- и WEC-серверов:

• Работа в качестве сервиса.

• Настройка параметров работы через файл конфигурации.

• Чтение журналов безопасности Windows и отправка событий на UserID-коллектор через syslog.

• Ведение файла журнала и его ротация. Возможность включить режим отладки журналирования.

Для работы агента в качестве источника данных в сценарии аутентификации с помощью UserID необходимо:

1. Установить и настроить UserID-агент для AD- и WEC-серверов.

2. Настроить сбор информации об аутентификации пользователей на UserGate Log Analyzer или на UserGate NGFW с помощью коннектора с типом syslog.

3. Настроить работу функции UserID на UserGate Log Analyzer или на UserGate NGFW.

Установка и настройка агента

UserID-агент для AD- и WEC-серверов поставляется в формате установочного файла.

Для установки агента:

1. Скачайте последнюю версию агента с официального сайта UserGate.

2. Распакуйте архив и запустите установочный MSI-файл.

3. По завершении установки перейдите в рабочую папку агента (по умолчанию: C:\Program Files (x86)\UserGate\useridagent) и отредактируйте файл конфигурации useridagent.cfg, добавив параметры вашей сети. Подробнее о параметрах и формате файла конфигурации — в разделе «Настройка».

4. Перезапустите сервис UserIDAgent через встроенное приложение Windows Services («Службы»).

Удалить агент можно через панель управления:

1. Нажмите комбинацию клавиш Win + R и выполните команду control.

2. В панели управления перейдите в раздел Программы ➜ Программы и компоненты.

3. Найдите в списке нужное приложение и нажмите Удалить.

Настройка

Чтобы настроить агент, отредактируйте его конфигурационный файл. Вы можете изменить или добавить следующие параметры:

• EventFileNames — имена журналов для чтения. Значение по умолчанию: Security.

• MaxLogSize — максимальный размер файла журнала в МБ. Значение по умолчанию: 10.

• EventIDs — номера событий для пересылки. Например, 4624,4634 (ID событий входа в сеть и выхода из сети).

• DebugLogs — включение или отключение режима отладки. 0 — журналируются основные события, 1 — журналируется расширенный список событий. Значение по умолчанию: 1.

• UserExclude — список пользователей, для которых события не должны собираться.

• NetworkList — список подсетей, в которых собираются события UserID.

• GatewayList — список шлюзов (узлы UserGate Log Analyzer, UserGate NGFW), на которые отправляются найденные события.

Синтаксис конфигурационного файла:

• Разделителем между параметрами в списках является символ запятой, пробелы после запятой игнорируются.

• Строки, начинающиеся с символов: «;» и «#», являются комментариями.

• Раздел [default] является необязательным, при использовании раздел должен сохранять указанное название. Перечень подсетей и шлюзов следует указывать в других разделах, названия которых могут быть произвольными. Названия разделов указываются в квадратных скобках.

• В файле конфигурации должен быть минимум один раздел с одной подсетью и одним шлюзом.

Пример конфигурации:

[default]
MaxLogSize=10
EventIDs=4634, 4624
EventFileNames=Security
DebugLogs=1
UserExclude=adm_,sys_
[net1]
NetworkList=192.168.30.0/24,172.30.250.0/24
GatewayList=192.168.45.1:514,192.168.45.2:514
[net2]
NetworkList=192.168.200.0/24,10.10.0.0/16
GatewayList=192.168.45.4:514,192.168.45.5:514

Пример минимальной конфигурации:

[net1]
NetworkList=192.168.30.0/24
GatewayList=192.168.45.1

Журналирование

UserID-агент записывает информацию о событиях в файл uidagent.log, размер которого контролируется параметром MaxLogSize. При достижении лимита:

• текущий файл журнала сохраняется с расширением .bak, заменяя предыдущую версию файла;

• начинается запись нового файла журнала.

Для хранения всех записей работы сервиса рекомендуется настроить внешнее копирование файлов журнала с помощью специализированных сервисов.

Интеграция с UserGate NGFW

Для получения информации об аутентификации пользователей выполните настройку следующих параметров на UserGate NGFW:

1. Активируйте сервис UserID syslog collector в параметрах контроля доступа зоны, в которой находится UserID-агент для AD- и WEC-серверов. Подробнее о настройке зон — в разделе «Настройка зон».

2. Настройте параметры аутентификации для UserID-агента в домене для получения информации о группах, в которых зарегистрирован найденный в журналах syslog пользователь:

• Создайте сервер аутентификации на основе LDAP-коннектора для UserID-агента. Подробнее о создании и настройке серверов аутентификации — в разделе «Серверы аутентификации».

• Создайте профиль аутентификации для UserID-агента. Подробнее о создании и настройке профилей аутентификации — в разделе «Профили аутентификации».

3. Создайте коннектор UserID-агента в соответствии с методом получения данных аутентификации.

Коннектор UserID-агента в веб-консоли UserGate NGFW создается в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы. Нажмите Добавить и выберите тип создаваемого коннектора Отправитель syslog. Укажите параметры коннектора:

• На вкладке Общие:

  • Включено — включение или отключение получения журналов от источника данных.

  • Название — название источника данных.

  • Описание — описание источника данных.

  • Адрес сервера — адрес узла, с которого UserGate NGFW будет получать события по протоколу syslog.

  • Домен по умолчанию — название домена, который используется для поиска найденных в журналах syslog пользователей.

  • Часовой пояс — часовой пояс, установленный на источнике. При работе с AD- и WEC-серверами через UserID-агент в syslog-коннекторе всегда указывается время в формате UTC+0. Этот параметр не зависит от часового пояса, установленного на контроллере домена.

  • Профиль аутентификации — профиль аутентификации, с помощью которого UserID-агент обращается к контроллеру домена по LDAP-протоколу для получения информации о группах, в которых зарегистрирован найденный в журналах syslog пользователь.

  • Время жизни аутентифицированного пользователя (сек.) — период времени, по истечении которого сессия пользователя будет завершена (то есть информация о нем будет удалена из кэш-памяти на UserGate NGFW). Значение по умолчанию: 2700 секунд (45 минут).

• На вкладке Фильтры выберите фильтры для поиска необходимых записей журнала. Фильтры создаются и настраиваются в разделе Настройки ➜ Библиотеки ➜ Syslog фильтры UserID-агента. Подробнее — в разделе «Syslog-фильтры UserID-агента».

Параметры сервера syslog на UserGate NGFW можно посмотреть или изменить в разделе Настройки ➜ Пользователи и устройства ➜ Свойства агента UserID.

О настройке функции UserID на UserGate NGFW — в разделе «UserID-агент».

Интеграция с UserGate Log Analyzer

Благодаря интеграции источника данных об аутентификации пользователей с UserGate Log Analyzer функцию UserID можно масштабировать на другие устройства сети. Принцип работы UserID на устройстве UserGate Log Analyzer аналогичен принципу работы на UserGate NGFW. Найденные в собранных данных события отправляются на другие UserGate NGFW в соответствии с политикой UserID Sharing на основании настроенных профилей редистрибуции. На NGFW отправляются только GUID пользователя, его IP-адрес и список идентификаторов групп, участником которых он является. Такая архитектура позволяет использовать один или несколько серверов UserGate Log Analyzer для централизованного сбора информации о пользователях с различных источников и далее централизованно и избирательно распространять эту информацию на узлы UserGate NGFW в корпоративной сети.  

Для получения информации об аутентификации пользователей выполните настройку следующих параметров на на UserGate Log Analyzer:

1. Активируйте сервис Сборщик логов в параметрах контроля доступа зоны, в которой находится UserID агент для AD- и WEC-серверов. Подробнее о настройке зон — в разделе «Настройка зон».

2. Создайте каталог пользователей для организации доступа UserGate LogAn к серверу AD. Доступ к AD позволяет при необходимости обновлять информацию об имени пользователя в журналах, импортированных из различных сенсоров. Подробнее о создании и настройке серверов аутентификации — в разделе «Каталоги пользователей».

3. Создайте коннектор UserID-агента в соответствии с методом получения данных аутентификации.

Коннектор UserID-агента в веб-консоли UserGate Log Analyzer создается в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы. Нажмите Добавить и выберите тип создаваемого коннектора Отправитель syslog. Укажите параметры коннектора:

• На вкладке Общие:

  • Включено — включение или отключение получения журналов от источника данных.

  • Название — название источника данных.

  • Описание — описание источника данных.

  • Адрес сервера — адрес узла, с которого UserGate Log Analyzer будет получать события по протоколу syslog.

  • Домен по умолчанию — название домена, который используется для поиска найденных в журналах syslog пользователей.

  • Часовой пояс — часовой пояс, установленный на источнике. При использовании UserID-агента для AD- и WEC-серверов в syslog-коннекторе всегда указывается время в формате UTC+0. Этот параметр не зависит от часового пояса, установленного на контроллере домена.

  • Время жизни аутентифицированного пользователя (сек.) — период времени, по истечении которого сессия пользователя будет завершена (то есть информация о нем будет удалена из кэш-памяти на UserGate NGFW). Значение по умолчанию: 2700 секунд (45 минут).

  • Профиль редистрибуции UserID — профиль для определения круга устройств UserGate NGFW, на которые отправляется информация о найденных UserID-агентом пользователях.

• На вкладке Фильтры выберите фильтры для поиска необходимых записей журнала. Фильтры создаются и настраиваются в разделе Настройки ➜ Библиотеки ➜ Syslog фильтры UserID-агента. Подробнее — в разделе «Syslog-фильтры UserID-агента».

• На вкладке Каталоги пользователей выбираются каталоги, в которых происходит поиск пользователя, найденного в журналах syslog.

Общие параметры syslog-сервера на UserGate Log Analyzer можно посмотреть или изменить в разделе Настройки ➜ Сборщик логов ➜ Syslog.

О настройке функции UserID на UserGate Log Analyzer — в разделе «UserID».