Cisco Duo 整合

您可以將 Cisco Duo 與 Sophos Central 整合，以便其將有關使用者驗證嘗試的資料傳送到 Sophos 進行分析。

本頁面提供此整合功能的概覽。

Cisco Duo 產品概覽

Cisco Duo 的多重要素驗證 (MFA) 解決方案是一個基於雲端的平台，旨在在授與使用者應用程式存取權限之前確認使用者的身分。它透過新增額外的安全層來實現這一點，確保使用者提供兩種或多種驗證方法來驗證其身分。

Sophos 說明文件

整合 Cisco Duo

我們擷取的內容

我們接收原因為 denied 或 fraud 的警報。

Sophos 可擷取的範例警示包括：

• deny_unenrolled_user
• invalid_device
• user_marked_fraud
• country_code_mismatch

完整擷取警示

我們接收所有原因為 拒絕 或 詐騙 的警報。

有關警報的完整列表，請參見 [驗證日誌] 的 "Authentication logs]](https://duo.com/docs/adminapi#authentication-logs)" 部分。

由於成功登錄活動的高流量，我們不接收原因為 成功 的警報。

資料篩選

我們查詢驗證日誌端點。請參見 驗證日誌。

我們過濾結果以確認格式。

威脅對應範例

如果 "原因" 欄位為空，我們使用 "事件類型" 的值。否則，我們使用 "原因" 的值 - "=> isEmpty(fields.reason) ? fields.event_type : fields.reason"

{"alertType": "touch_id_disabled", "threatId":"T1562.001", "threatName":"Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId":"T1200", "threatName":"Hardware Additions"}
{"alertType": "anomalous_push", "threatId":"T1111", "threatName":"Two-Factor Authentication Interception"}

原廠文件

配置權限和憑證