주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=cisco-duo-overview

Cisco Duo 통합

Sophos Central에 Cisco Duo를 통합하면 Sophos로 사용자의 인증 시도에 대한 데이터를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

시스코 듀오 제품 개요

Cisco Duo의 MFA(다단계 인증) 솔루션은 사용자에게 애플리케이션에 대한 액세스 권한을 부여하기 전에 사용자의 신원을 확인하도록 설계된 클라우드 기반 플랫폼입니다. 이는 추가 보안 계층을 추가하여 사용자가 자신의 신원을 인증하기 위해 두 가지 이상의 확인 방법을 제공하도록 보장함으로써 이를 수행합니다.

Sophos 문서

시스코 듀오 통합

수집되는 것

우리는 거부 사유 또는 사기 행위에 대한 경고를 수집합니다.

Sophos에서 볼 수 있는 샘플 경고:

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

완전히 수집되는 경고

우리는 사유가 거부 되었거나 사기인 모든 경고를 수집합니다.

전체 알림 목록은 [인증 로그]의 표에 있는 "사유" 섹션을 참조하십시오.https://duo.com/docs/adminapi#authentication-logs)

로그인 성공 건수가 매우 많기 때문에 성공 사유가 포함된 알림은 수집하지 않습니다.

필터링

우리는 인증 로그 Endpoint 조회합니다. 인증 로그를 참조하세요.

결과를 필터링하여 형식만 확인합니다.

샘플 위협 매핑

"이유" 필드가 비어 있으면 "이벤트 유형" 값을 사용합니다. 그렇지 않으면 "reason" 값을 사용합니다. 즉, "=> isEmpty(fields.reason) ? fields.event_type : fields.reason"

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

공급업체 설명서

권한 및 자격 증명 구성

Note

Duo API는 분당 1건의 요청으로 제한됩니다. 저희는 페이지네이션 통화 사이에 1분 지연 시간을 두고 있지만, 과거에 일부 고객이 Duo 자격 증명 다른 서비스(예: Splunk)와 함께 사용하면서 해당 서비스가 통화량 제한을 "가로채" 여러 차례 통화량 제한/429 오류가 발생하는 사례를 확인했습니다. 그렇다면 각 서비스마다 고유한 자격 자격 증명 세트를 사용해야 합니다.