Die User API für das Mapping von Benutzern einrichten
Threat Defender kann die Benutzernamen und IP-Adressen von Benutzern nachverfolgen, die sich am Netzwerk anmelden.
Threat Defender vorbereiten
Richten Sie Threat Defender für den Empfang der Tracking-Daten ein:
Gehen Sie auf Inventory > User Api Setting.
Geben Sie einen Secret Key ein, mit dem sich die Server am Threat Defender anmelden.
Mit SAVE speichern Sie die Einstellungen.
Tipp
Optional können Sie Ausnahmen definieren, die nicht nachverfolgt werden.
Das Netzwerk vorbereiten
Threat Defender kann Benutzer, die sich am Netzwerk anmelden, nicht eigenständig erkennen. Benutzer können entweder manuell über die Benutzeroberfläche von Threat Defender erstellt werden (siehe Users) oder die Daten können von den Netzwerkgeräten oder -Servern übermittelt werden. Wir empfehlen die Server entsprechend einzurichten, da dies am effizientesten ist.
Hierzu kontaktieren die Server Threat Defender mit dem festgelegten Secret Key und übertragen die IP-Adressen und Benutzernamen der Benutzer, die sich am Netzwerk anmelden. Dies kann zum Beispiel über curl eingerichtet werden:
curl -skL "https://$TARGET/userapi/registration?action=login&clientIP=${IP}&username=${USER}&secretKey=password"
Wobei die Variable $TARGET
der DNS-Name oder die IP-Adresse von Threat Defender ist.
Ergebnis
Threat Defender zeigt die von Benutzern ausgelösten Login- und Logout-Ereignisse in den User Api Logs und im Reporting an.