База знаний

База Знаний

Документация

...

Общие сведения

UserGate 6.x

UserGate 7.x

Быстрый старт

NGFW 7.0.1 Руководство администратора

Management Center 7.0.1 Руководство администратора

Log Analyzer 7.0.1 Руководство администратора

NGFW 7.1.x Руководство администратора

Management Center 7.1.x Руководство администратора

Log Analyzer 7.1.x Руководство администратора

UserGate SIEM 7.1.x Руководство администратора

Введение

Лицензирование SIEM

Первоначальная настройка

Офлайн операции с сервером

Настройка SIEM

Настройка сети

Пользователи и устройства

UserID агент

Профили редистрибуции

Сенсоры

Сборщик логов

Библиотеки

Диагностика и мониторинг

Журналы и отчеты

Аналитика

Инциденты

Интерфейс командной строки (CLI)

Дашборд

Техническая поддержка

ADMIN

Избранные

Приложения

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

UserID агент

ID статьи: 1216

Последнее обновление: 24 янв, 2024

Содержание:

Documentation:

Product: LogAn, SIEM

Version: 7.1.0

Описание

UserID агент предназначен для осуществления прозрачной аутентификации на выбранных устройствах UserGate. В качестве источника данных аутентификации используются журналы Microsoft Active Directory (посредством протокола WMI) и Syslog (посредством стандартизированного протокола syslog RFC 3164, RFC 5424, RFC 6587).

Схема работы

UserID агент периодически делает запрос в базу данных для поиска событий входов/выходов пользователей. Поиск происходит только среди записей, полученных при помощи источников UserID, то есть другие записи (полученные через WMI сенсоры, конечные устройства, сборщики логов) игнорируются. По полученным данным происходит поиск пользователя в каталогах пользователей источника логов. Если пользователь найден, то данные для авторизации пользователя отправляются на все устройства NGFW, указанные в профиле редистрибуции источника. Таким образом производится авторизация пользователя на всех указанных устройствах. В случае выхода пользователя ситуация аналогична (за исключением Microsoft Active Directory, где данные о выходе пользователя на данный момент не обрабатываются). Информация о входе/выходе/ошибке сохраняется в журнал UserID.

ПримечаниеСобытия, полученные с источников, будут отображены в журналах UserID на рабочем столе Журналы и отчёты.

Настройка

В общем случае для настройки сбора информации с источников необходимо выполнить следующее:

Наименование	Описание
Шаг 1. Настроить параметры агента UserID.	Настройка осуществляется в разделе Пользователи и устройства ➜ UserID агент, кнопка Настроить агент.
Шаг 2. Настроить источник событий.	В качестве источников могут быть использованы Microsoft Active Directory или Syslog.

При настройке агента необходимо заполнить следующие поля:

Наименование	Описание
Интервал опроса (сек.)	Период опроса серверов Active Directory. Значение по умолчанию – 120 секунд.
Время жизни аутентифицированного пользователя (сек.)	Период времени, по истечении которого сессия пользователя будет завершена принудительно. Значение по умолчанию – 2700 секунд (45 минут).
Интервал мониторинга syslog (сек.)	Период опроса базы данных для поиска событий начала/завершения сеанса пользователей syslog-источников.
Ignore network list	Списки IP-адресов, события от которых будут проигнорированы агентом UserID. Запись об игнорировании источника появится в журнале Агент UserID. Список может быть создан в разделе Библиотеки ➜ IP-адреса или при настройке агента (кнопка Создать и добавить новый объект). Подробнее о создании и настройке списков IP-адресов читайте в разделе IP-адреса. Данная настройка является глобальной и относится ко всем источникам.
Ignore user list	Имена пользователей, события от которых будут проигнорированы агентом UserID. Поиск производится по Common Name (CN) пользователя AD. Данная настройка является глобальной и относится ко всем источникам. Запись об игнорировании пользователя появится в журнале UserID. Важно! При задании имени допустимо использовать символ астериск (*), но только в конце строки.

ПримечаниеПри подключении NGFW к Log Analyzer возможна одновременная работа агентов UserID, настроенных на обоих устройствах. Агенты устройств будут работать независимо друг от друга. События журналов агента UserID, полученные NGFW, как и события других журналов, будут переданы на LogAn.

Microsoft Active Directory

В случае, если в качестве источника информации выступает Microsoft Active Directory необходимо:

Наименование	Описание
Шаг 1. Настроить параметры агента UserID для мониторинга Microsoft AD.	Параметры агента UserID были рассмотрены ранее.
Шаг 2. Настроить источник событий.	Настроить Microsoft Active Directory в качестве источника. Подробнее о параметрах источника читайте далее.

При использовании серверов AD в качестве источников событий UserGate выполняет WMI-запросы для поиска событий, связанных с успешным входом в систему (идентификатор события 4624), событий Kerberos (события с номерами: 4768, 4769, 4770) и события членства в группах (идентификатор события 4627). Периодичность выполнения запросов регулируется настройками агента UserID (параметр Интервал опроса). Найденные события отображаются на рабочем столе Журналы и отчёты, в разделе Журналы → Конечные устройства → Журнал событий.

При добавлении источника событий типа Microsoft Active Directory необходимо указать следующие данные:

Наименование	Описание
Включено	Включение/отключение получения журналов с источника.
Название	Название источника.
Описание	Описание источника (опционально).
Адрес сервера	Адрес Microsoft Active Directory.
Протокол	Протокол доступа к AD (WMI).
Имя	Имя пользователя для подключения к AD.
Пароль	Пароль пользователя для подключения к AD.
Профиль редистрибуции	Профиль редистрибуции, который описывает круг устройств UserGate на который будет отправлена информация о найденных пользователях. Подробнее смотрите раздел Профиль редистрибуции.
Каталоги пользователей	Предназначена для выбора LDAP-коннектора, который используется для поиска информации о пользователях, найденных в журналах агентом UserID. Можно выбрать настроенный ранее каталог или добавить новый.

Syslog

ПримечаниеДля корректной работы сборщика логов UserID, необходимо настроить сервер Syslog для отправки журналов на адрес агента UserID. Подробнее см. документацию Syslog.

Для настройки источника событий необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Разрешить сбор информации с удалённых устройств по протоколу syslog.	В разделе Сеть ➜ Зоны разрешить сервис Сборщик логов для зоны, в которой находятся сервера Syslog.
Шаг 2. Настроить параметры агента UserID для мониторинга сервера syslog.	Параметры агента UserID были рассмотрены ранее.
Шаг 3. Настроить источник событий.	Настроить сервер Syslog в качестве источника. Подробнее о параметрах источника читайте далее.

При добавлении источника событий типа Syslog необходимо указать следующие параметры:

Наименование	Описание
Включено	Включение/отключение получения журналов с источника.
Название	Название источника.
Описание	Описание источника.
Адрес сервера	Адрес хоста, с которого UserGate будет получать события по протоколу syslog.
Домен по умолчанию	Название домена, который используется для поиска найденных в журналах syslog пользователей.
Часовой пояс	Часовой пояс, установленный на источнике.
Профиль редистрибуции	Профиль редистрибуции который описывает круг устройств UserGate на который будет отправлена информация о найденных пользователях. Подробнее смотрите раздел Профиль редистрибуции.
Фильтры	Фильтры для поиска необходимых записей журнала. Фильтры создаются и настраиваются в разделе Библиотеки ➜ Syslog фильтры UserID агента. Подробнее читайте в разделе Syslog фильтры UserID агента.
Каталоги пользователей	Предназначена для выбора LDAP коннектора, который используется для поиска информации о пользователях, найденных в журналах агентом UserID. Можно выбрать настроенный ранее каталог или добавить новый.