Einrichtung der User API für das Mapping von Benutzern

Threat Defender kann die Benutzernamen und IP-Adressen von Benutzern nachverfolgen, die sich am Netzwerk anmelden.

Threat Defender kann Benutzer jedoch nicht eigenständig erkennen. Benutzer können entweder manuell über die Benutzeroberfläche von Threat Defender erstellt werden (siehe Users) oder die Daten können von den Netzwerkgeräten oder -Servern übermittelt werden. Wir empfehlen die Server entsprechend einzurichten, da dies am effizientesten ist.

Vorbereitung von Threat Defender

Richten Sie Threat Defender für den Empfang der Tracking-Daten ein:

  1. Gehen Sie auf Inventory > User Api Setting.

  2. Überprüfen Sie, dass der Schalter auf on steht.

  3. Geben Sie einen Secret Key ein, mit dem sich die Server an Threat Defender anmelden.

  4. Mit SAVE speichern Sie die Einstellungen.

Tipp

Optional können Sie Ausnahmen definieren, die nicht nachverfolgt werden.

Vorbereitung des Netzwerks

Richten Sie die Server so ein, dass sie Threat Defender mit dem festgelegten Secret Key kontaktieren und die IP-Adressen und Benutzernamen der Benutzer übertragen, die sich am Netzwerk anmelden. Dies kann zum Beispiel über curl eingerichtet werden:

curl -skL "https://$TARGET/userapi/registration?action=login&clientIP=${IP}&username=${USER}&secretKey=password"

Wobei die Variable $TARGET der DNS-Name oder die IP-Adresse von Threat Defender ist.

Ergebnis

Threat Defender zeigt die von Benutzern ausgelösten Login- und Logout-Ereignisse in den User Api Logs und im Reporting an.