Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=cisco-duo-overview

Integração da Cisco Duo

API Identidade

Você pode integrar a Cisco Duo ao Sophos Central para que envie dados sobre as tentativas de autenticação dos usuários à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Cisco Duo

A solução de autenticação multifator (MFA) do Cisco Duo é uma plataforma baseada na nuvem e projetada para confirmar a identidade dos usuários antes de lhes conceder acesso aos aplicativos. Isso ocorre com a inserção de uma camada adicional de proteção que assegura que os usuários forneçam dois ou mais métodos de verificação para a autenticação de identidade.

Documentação da Sophos

Integrar a Cisco Duo

O que ingerimos

Ingerimos alertas em que o motivo é denied ou fraud.

Exemplos de alertas vistos pela Sophos:

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

Alertas ingeridos na íntegra

Ingerimos todos os alertas em que o motivo é denied ou fraud.

Para obter uma lista completa de alertas, consulte a seção "reasons" da tabela [Authentication logs]](https://duo.com/docs/adminapi#authentication-logs "https://duo.com/docs/adminapi#authentication-logs")

Nós não ingerimos alertas com o motivo success devido ao alto volume de atividades de login bem-sucedidas.

Filtragem

Consultamos o endpoint de logs de autenticação. Consulte Logs de autenticação

Filtramos os resultados para confirmar apenas o formato.

Amostra de mapeamentos de ameaças

Se o campo "reason" estiver vazio, usamos o valor de "event_type". Caso contrário, usamos o valor de "reason" - "=> isEmpty(fields.reason) ? fields.event_type : fields.reason"

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

Documentação do fornecedor

Configurar permissões e credenciais

Nota

A API do Duo tem um limite de 1 solicitação por minuto. Temos um atraso de 1 minuto entre chamadas paginadas, mas vimos no passado que alguns clientes usaram credenciais Duo com outros serviços (por exemplo, Splunk), e esses serviços estavam "roubando" o limite de taxa, o que resultou em várias falhas de limitação/429. Se for esse o caso, você precisa usar um conjunto exclusivo de credenciais para cada serviço.