Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=cisco-duo-overview

Cisco Duo-Integration

Sie können Cisco Duo in Sophos Central integrieren, sodass Daten über die Authentifizierungsversuche von Benutzern an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Cisco Duo-Produktübersicht

Duo, die Lösung für Multi-Faktor-Authentifizierung (MFA) von Cisco, ist eine Cloud-basierte Plattform, welche die Identität von Benutzern bestätigt, bevor diesen der Zugriff auf Anwendungen gewährt wird. Dazu wird eine zusätzliche Sicherheitsschicht hinzugefügt, die sicherstellt, dass Benutzer zwei oder mehr Verifizierungsmethoden zur Authentifizierung ihrer Identität verwenden.

Sophos-Dokumente

Cisco Duo integrieren

Was wir erfassen

Wir erfassen Alerts, wobei der Grund denied oder fraud lautet.

Beispiel für Alerts, die Sophos gesehen hat:

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

Alerts werden vollständig erfasst

Wir erfassen alle Alerts, bei denen der Grund denied oder fraudlautet.

Eine vollständige Liste der Alerts finden Sie im Abschnitt „Gründe“ der Tabelle in [Authentifizierungsprotokolle]](https://duo.com/docs/adminapi#authentication-logs)

Aufgrund der Vielzahl der erfolgreichen Anmeldungen erfassen wir keine Alerts mit dem Grund success.

Filterung

Wir fragen den Endpoint der Authentifizierungsprotokolle ab. Siehe Authentifizierungsprotokolle

Wir filtern die Ergebnisse, um nur das Format zu bestätigen.

Beispiele für Bedrohungszuordnungen

Wenn das Feld „Grund“ leer ist, verwenden Sie den Wert „event_type“. Andernfalls verwenden wir den Wert des Felds „Grund“ – "=> isEmpty(fields.reason) ? fields.event_type : fields.reason"

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

Herstellerdokumentation

Berechtigungen und Anmeldeinformationen konfigurieren

Note

Duo API ist auf 1 Anfrage pro Minute begrenzt. Eine Verzögerung von 1 Minute tritt zwischen paginierten Aufrufen auf. In der Vergangenheit haben wir festgestellt, dass einige Kunden Duo-Anmeldeinformationen mit anderen Diensten (zum Beispiel Splunk) verwendet haben und diese Dienste die Ratenbegrenzung zu sehr beanspruchen, was zu mehreren Drosselungen/429-Fehlern führte. In diesem Fall müssen Sie für jeden Service eindeutige Anmeldeinformationen verwenden.