EtherSensor подключается к контроллерам доменов как WMI-клиент и получает данные о пользователях сети, прошедших аутентификацию (для получения данных от контроллера доменов необходима учетная запись с соответствующими правами).
Таким образом EtherSensor может видеть активных пользователей корпоративной сети, их IP-адреса и названия компьютеров, а затем использовать эти данные для привязки перехваченного объекта к пользователю или хосту.
Альтернатива: Для получения этих данных вместо подключения к контроллеру доменов можно использовать установленный на рабочих станциях/серверах logon script, отправляющий данные об аутентификации пользователя на сервер агентов EtherSensor. |
|---|
Настройка профиля доступа к контроллеру домена:
Рис.20. Настройка профиля контроллера домена для службы EtherSensor Identity.
Название профиля
Удобное, запоминающееся и информативное название профиля (на усмотрение администратора).
Активен
Профиль контроллера домена не используется в анализе сообщений, если он отключен.
Комментарий
Ваш комментарий для данного профиля.
Адрес контроллера домена
IP-адрес или имя контроллера домена для чтения журналов ОС.
Таймаут чтения записей
Таймаут в секундах для чтения записей из журналов ОС.
Логин
Логин на доступ для чтения журналов контроллера домена в формате <domain name>\<user name>.
Пароль
Пароль на доступ для чтения журналов контроллера домена.