Cisco Duo 통합
Sophos Central에 Cisco Duo를 통합하면 Sophos로 사용자의 인증 시도에 대한 데이터를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Cisco Duo 제품 개요
Cisco Duo의 MFA(다단계 인증) 솔루션은 사용자에게 애플리케이션에 대한 액세스 권한을 부여하기 전에 사용자의 신원을 확인하도록 설계된 클라우드 기반 플랫폼입니다. 이는 추가 보안 계층을 추가하여 사용자가 자신의 신원을 인증하기 위해 두 가지 이상의 확인 방법을 제공하도록 보장함으로써 이를 수행합니다.
Sophos 문서
우리가 섭취하는 것
이유가 denied
또는 인 경우 알림을 수집합니다. fraud
Sophos에서 볼 수 있는 샘플 경고:
deny_unenrolled_user
invalid_device
user_marked_fraud
country_code_mismatch
알림이 완전히 수집됨
이유가 denied
또는 인 경우 모든 경고를 수집합니다. fraud
전체 경고 목록은 [Authentication logs]](https://duo.com/docs/adminapi#authentication-logs "https://duo.com/docs/adminapi#authentication-logs" 있는 표의 "reasons" 섹션을 참조하십시오.
success
로그인 활동의 양이 많기 때문에 그 이유가 포함된 경고를 수집하지 않습니다.
필터링
인증 로그 끝점을 쿼리합니다. 인증 로그 보기
결과를 필터링하여 형식만 확인합니다.
위협 매핑 샘플
"reason" 필드가 비어 있으면 "event_type" 값을 사용합니다. 그렇지 않으면 "reason" - "=> IsEmpty(fields.reason) ? 값을 사용합니다. fields.event_type : fields.reason
{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}
공급업체 설명서
참고
Duo API는 분당 1개의 요청으로 제한됩니다. 호출된 통화 간에 1분 지연이 있지만, 과거에는 일부 고객이 다른 서비스(예: Splunk)와 함께 Duo 자격 증명을 사용했으며 이러한 서비스가 속도 제한 할당을 "훔쳐" 여러 스로틀링/429 장애를 일으켰습니다. 이 경우 각 서비스에 대해 고유한 자격 증명 집합을 사용해야 합니다.