实时监控安全事故已成为每家企业的强制性做法。为了达到此目的,许多组织依赖安全信息和事件管理(SIEM)解决方案来保护网络安全以抵御网络安全攻击。
ADSelfService Plus作为自助服务工具,具有大量关于安全相关用户活动和事件的关键信息,例如失败的密码重置、失败的用户帐户锁定等。如果您已有SIEM工具(例如,Splunk、LogRhythm或Log360)来分析整个网络的安全事件,则将该工具与ADSelfService Plus集成可提供有关最终用户正在执行哪些操作的实时数据。
一旦您已设置集成,则您可将ADSelfService Plus中生成的日志数据直接转发给SIEM解决方案以进一步分析。从那里,您可以使用SIEM解决方案将ADSelfService Plus中的日志数据与网络和流程中的其他日志进行关联,分析ADSelfService Plus的日志以生成报表并对安全事故触发告警。ADSelfService Plus还可以将Syslog格式的日志转发给诸如商业智能工具之类的应用程序。
要了解如何将ADSelfService Plus与Splunk或任何Syslog服务器进行集成,请 单击此处。
ADSelfService Plus中的事件可在SIEM产品中基于以下字段进行查看、搜索、分组为报表和分类:
| 字段 | 目的 |
| ACCESS_MODE | 根据访问模式(即,Web浏览器、移动应用或移动站点)筛选ADSelfService Plus中的事件。 |
| ACTION_NAME | 根据所执行的操作(例如,密码重置、帐户解锁、密码更改、注册等)筛选日志事件。 |
| DATE_TIME 或 TIME | 根据操作的时间筛选日志事件。 |
| DOMAIN_NAME | 根据域筛选日志事件。 |
| HOST | 根据主机名筛选日志事件。 |
| IP | 根据IP地址筛选日志事件。 |
| LOGIN NAME | 根据用户登录名筛选日志事件。 |
| STATUS | 根据操作执行成功还是失败筛选日志事件。 |
例如,当用户尝试通过ADSelfService Plus移动应用解锁其帐户时,ADSelfService Plus记录有关事件的详细信息,其中包括用户IP地址和登录名。以下是样本日志:
ACCESS_MODE: Android App
ACTION_NAME: Self Unlock
DATE_TIME: 2017/12/02 04:09 PM
DOMAIN NAME: adssp
HOST: Galaxy-Note5.csez.zohocorpin.com
IP: 172.23.116.248
LOGIN NAME: anjali.g
STATUS: Cannot unlock the user. The user account is not locked.
TIME: 1512211164721
