Guida alla configurazione del connettore Active Directory (AD) locale

Questa guida fornisce istruzioni dettagliate per configurare On-Prem AD Connector nella piattaforma XDR utilizzando Docker e PowerShell.

1. Configurazione del connettore in XDR

1. Vai Piattaforma XDR.
2. Accedere a Connettori → L'ingestione.
3. Seleziona Connettore AD on-prem e fare clic su Configurazione.
4. Digita il seguente:
   • ID del collezionista
   • Password
   • Crea tabella: Impostato Si
   • Intervallo di tempo (in minuti)
   • Soglia (numero di failed tentativi di accesso)
5. Clicchi Convalida e salva.

🔍 Cosa sono l'intervallo di tempo e la soglia?

If Time Interval = 5 minuti e Threshold = 3, quindi se un utente tenta 3 tentativi fallitiled accessi entro 5 minuti, Avviso 1 sarà generato.

2. Requisiti di sistema

• Macchina con Indirizzo IP statico
• Motore Docker installareled da https://docs.docker.com/get-docker

Avvia Docker:

systemctl start docker

3. Configurazione della porta del firewall

Per Linux/macOS:

firewall-cmd --permanent --add-port=514/udp
firewall-cmd --reload

Per Windows (PowerShell come Administrator):

New-NetFirewallRule -DisplayName "Allow UDP Port 514" -Direction Inbound -Protocol UDP -LocalPort 514 -Action Allow
New-NetFirewallRule -DisplayName "Allow UDP Port 514" -Direction Outbound -Protocol UDP -LocalPort 514 -Action Allow

4. Configurazione del Docker Collector

Scarica l'immagine del collezionista:

https://connectors-xdr.seqrite.com/connectors/collector/download?collectorId=<COLLECTOR_ID>&password=<PASSWORD>&tid=<TENANT_ID>

Carica l'immagine Docker:

docker load --input <path_to/hhcollector-1.0.0.tar>

Avviare l'agente:

docker run -p 514:514/udp 
  --env COLLECTOR_ID=<COLLECTOR_ID> 
  --env TID=<TENANT_ID> 
  hhcollector

5. Configurazione dello script di PowerShell per l'inoltro dei registri

✅ Prerequisiti:

• Admin privilegi
• Script di PowerShell scaricato
• Installazione di NSSM (Non-Sucking Service Manager)led

Passaggio 1: scaricare lo script di PowerShell

Scarica la sceneggiatura:

https://connectors-xdr.seqrite.com/connectors/collector/scriptDownload?collectorId=<COLLECTOR_ID>&password=<PASSWORD>&tid=<TENANT_ID>

Salva lo script come:

C:SyslogForwarderSyslogForwarder.ps1

Passaggio 2: scarica e installa NSSM

Scarica NSSM dal sito ufficiale ed estrailo in:

C:nssm

Passaggio 3: installare lo script PowerShell come servizio Windows

Apri il prompt dei comandi come Administrator e corri:

C:nssmnssm.exe install SyslogForwarder

Nell'interfaccia utente grafica NSSM:

• Iscrizione:
  powershell.exe
• argomenti:
  -ExecutionPolicy Bypass -File "C:SyslogForwarderSyslogForwarder.ps1"
• Directory di avvio:
  C:SyslogForwarder

(Facoltativo) Sotto Accedere scheda:
Usa il Sistema locale o un account utente con le autorizzazioni richieste.

Clicchi Installa il servizio.

Passaggio 4: impostare l'avvio automatico del servizio

Opzione 1: PowerShell

Set-Service -Name "SyslogForwarder" -StartupType Automatic

Opzione 2: Console dei servizi

• Apri services.msc
• Trovate SyslogForwarder
• Fare clic con il pulsante destro del mouse → Properties
• Impostato Tipo di avvio a Automatico
• Clicchi OK

Passaggio 5: avviare il servizio

Puoi utilizzare uno dei seguenti:

nssm start SyslogForwarder

or

net start SyslogForwarder

o tramite services.msc → fare clic con il tasto destro → Inizio

Passaggio 6: verifica del funzionamento

Controllare l'output del registro a:

C:SyslogForwarderSyslogForwarder.log

Assicurarsi che il file venga aggiornato con i log previsti.