Data Infrastructure Insights Workload Security Activity ForensicsのユーザアカウントがLDAPのように表示されるのはなぜですか:domain.com:s-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXX?
環境
- Data Infrastructure Insights(DII)(旧称Cloud Insights)
- Data Infrastructure Insights(DII)(旧称Cloud Insights)ワークロードセキュリティ
回答
- ユーザーディレクトリコレクタが特定のドメインのユーザーを解決するように正しく構成されていても、Data Infrastructure Insights Workload Security内のユーザープロファイルまたはアクティビティフォレンジックエントリ では、ユーザーを解決できない場合があります。これらのエントリは、ldap:domain.com:s-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXのような名前またはユーザ名で表示されます。
これは、アプリケーションが次のクエリに基づいてドメインユーザをフェッチするためです。
"(&(objectCategory=person)(objectClass=user))" - LDAPエンティティのobjectCategoryが「person」と等しくない場合、アプリケーションによって取得されず、解決されません。エントリのobjectCategory値を確認するには、エージェントにSSHで接続し、LDAPサーバにユーザを照会します。
例:
ldapsearch -o ldif-wrap=no -LLL -x -b "DC=domain,DC=com" -h ldap.domain.com -p 389 -D "CN=bindAccount,OU=Accounts,DC=domain,DC=com" -W "ObjectSID=s-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXX"
- バインドアカウントのパスワードの入力を求められ、指定したobjectSIDのエンティティデータが返されます。objectCategoryの値を探して、「person」かどうかを確認します。そうでない場合は 、User Directory Collectorによって取得されません。
- LDAPSプロトコルが選択され、UNIXユーザアクティビティのみが解決されている場合は、コレクタのプロトコルをActive Directoryに変更し、コレクタ設定で「uid」属性が正しくマッピングされていることを確認します。これにより、WindowsとUNIXの両方のユーザアクティビティが解決されます。
追加情報
- コンピュータアカウントとサービスアカウントの場合、LDAPエンティティのobjectCategoryは「person」と等しくないため、これらの SIDは解決されません。
- SIDのワークロードセキュリティのLDAP属性マッピングが
objectsidのデフォルト値から変更された場合、この問題が表示されることがあります。