Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=cisco-duo-overview

Integración de Cisco Duo

API Identidad

Puede integrar Cisco Duo con Sophos Central para que envíe datos de los intentos de autenticación de los usuarios a Sophos para analizarlos.

Esta página presenta una visión general de la integración.

Resumen del producto Cisco Duo

La solución de autenticación multifactor (MFA) de Cisco Duo es una plataforma basada en la nube diseñada para confirmar la identidad de los usuarios antes de concederles acceso a las aplicaciones. Para ello, añade una capa adicional de seguridad, velando por que los usuarios proporcionen dos o más métodos de verificación para autenticar su identidad.

Documentos de Sophos

Integrar Cisco Duo

Datos que ingerimos

Ingerimos alertas en que la razón es denied o fraud.

Ejemplos de alertas vistas por Sophos:

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

Alertas ingeridas en su totalidad

Ingerimos todas las alertas en que la razón es denied o fraud.

Para consultar la lista completa de alertas, vea la sección "razones" de la tabla de [Registros de autenticación]](https://duo.com/docs/adminapi#authentication-logs "https://duo.com/docs/adminapi#authentication-logs")

No ingerimos alertas con la razón success debido al alto volumen de actividad de inicio de sesión correcta.

Filtrado

Consultamos la estación de trabajo de los registros de autenticación. Vea Registros de autenticación

Filtramos los resultados para confirmar solo el formato.

Muestra de asignaciones de amenazas

Si el campo "razón" está vacío, utilizamos el valor de "event_type". De lo contrario, usamos el valor de "razón" - "=> isEmpty(fields.reason) ? fields.event_type : fields.reason"

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

Documentación del proveedor

Configurar permisos y credenciales

Nota

La API de Duo tiene un límite de una solicitud por minuto. Tenemos un retraso de un minuto entre las llamadas paginadas, pero hemos visto en el pasado que algunos clientes usaban credenciales de Duo con otros servicios (por ejemplo, Splunk), y estos servicios "robaban” el límite de velocidad máximo, lo que resultó en múltiples fallos de limitación/429. Si ese es el caso, debe usar un conjunto único de credenciales para cada servicio.