Служба идентификации пользователей представляет собой группу веб-приложений без сохранения состояния, каждое из которых выполняется в отдельном контейнере Docker. Ниже описан порядок работы с данными каждым из компонентов.
Компонент сборки событий (Collector) обеспечивает сбор событий из журнала событий Windows доменного контроллера с последующей фильтрацией на основе правил, заданных в файле конфигурации приложения. Компонент накапливает данные в оперативной памяти, а затем отфильтрованные события по защищенному каналу передаются компоненту MapApp для дальнейшей обработки.
Компонент обработки событий (MapApp) обрабатывает очередь сообщений от Collector и на их основе поддерживает актуальную карту пользовательских сессий, которая позволяет сопоставлять IP-адреса узлов локальной сети с доменными учетными записями. Для хранения информации используется внешнее хранилище Postgress. Компонент предоставляет API для других компонентов решения Kaspersky NGFW, которым требуется информация о соответствии IP-адресов учетным записям для реализации политик при обработке трафика или анализе событий безопасности.
Компонент обработки групп пользователей (GroupApp) по протоколам ldap/ldaps собирает и актуализирует информацию о составе пользовательских групп в домене. Для хранения информации используется внешнее хранилище Postgress. Компонент предоставляет API для других компонентов решения Kaspersky NGFW, которым требуется информация о группах для реализации групп профилей безопасности при обработке трафика или анализе событий безопасности.
В начало