本文解释了如何配置用户意识,以便为内部网络上的AD用户提供更好的可见性。
Cato 管理应用程序可以帮助您轻松识别已通过 Cato 客户端认证连接到公司网络的远程用户。 然而,对于位于站点后面的用户,他们没有使用客户端进行连接,您只能看到IP地址或计算机名。 在没有个人信息(如姓名和姓氏)的情况下,很难对这些内部用户进行分析。 用户意识功能与 Active Directory (AD) 集成,以关联 IP 地址和用户名。 PoPs 可以查询 DC 登录日志,将用户映射到其计算机的 IP 地址。 用户数据几乎是实时的,仅有30秒的延迟。 用户意识使得拓扑窗口和分析能够显示内部用户的名称,而不仅仅是显示IP地址。
在您启用用户意识之前,必须为域配置目录服务。 有关配置目录服务的更多信息,请参阅使用LDAP预配用户。
确保审计策略已配置好Windows安全日志中的用户意识所使用的事件ID,以便将用户映射到IP地址。 更多信息,请参见目录服务和用户意识错误和问题的故障排除。
以下部分解释了如何为位于第三方防火墙后面的IPsec站点配置用户意识。 如果您没有IPsec站点,请继续查看定义实时域控制器。
用户意识同步使用固定 IP 地址进行系统范围。 使用第三方防火墙来控制对其DC的访问的客户,必须更新防火墙设置,以便允许该IP地址的所有端口和服务。 为默认系统范围或自定义系统范围使用的账户,用户意识同步所用的IP地址是不同的。
有关Cato Cloud中DNS服务器的默认和自定义范围的更多信息,请参见:在Cato Cloud中处理DNS流量。
用户意识检测到至少4个不同用户在2小时的时间范围内登录同一设备,该设备被视为共享主机。 防火墙和网络规则适用于 所有共享主机用户组或主机IP地址的SDP 用户,而不适用于SDP用户的规则。
在域控制器 (DC) 上定义 WMI 控制器,以实时监控 WMI 查询。
对于位于站点后面的AD,请确保将域控制器 (DC) 定义为该站点的主机(网络 > 站点设置 > 主机)。
注意
注意:对于具有多个DC的账户,您必须将所有具有登录事件的DC添加到实时域控制器。
定义用于用户意识的AD组同步到你的Cato账户。 你也可以选择是否每天自动同步AD,或仅手动执行同步。 用户意识的同步设置必须在你账户的所有域中相同。
当AD组或用户从域中移除时,除非它们在规则或组中被使用,它们将在你的账号中被禁用。 For more about synchronization setting for Directory Services see Provisioning Users with SCIM and LDAP.
选择包含用户意识用户的域中的AD组,并为它们定义每日同步设置。
只有配置了实时域控制器或启用了身份代理时,用户才会同步到你的Cato账户(访问 > 用户意识 > 身份代理)。
sAMAaccountName属性用于Cato管理应用程序中的用户组名称。
0 条评论
文章评论已关闭。