跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

Cisco Duo集成

您可以將 Cisco Duo 與 Sophos Central 整合,以便其將有關使用者驗證嘗試的資料傳送到 Sophos 進行分析。

此頁面提供集成的概述。

Cisco Duo產品概述

Cisco Duo 的多重要素驗證 (MFA) 解決方案是一個基於雲端的平台,旨在在授與使用者應用程式存取權限之前確認使用者的身分。它透過新增額外的安全層來實現這一點,確保使用者提供兩種或多種驗證方法來驗證其身分。

Sophos文檔

整合 Cisco Duo

我們攝取的東西

我們在原因是 denied 或的地方攝取警報 fraud

Sophos看到的示例警報:

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

已擷取完整警示

我們會在原因為 deniedfraud的地方攝取所有警報。

有關警報的完整列表,請參閱[身份驗證日誌]](https://duo.com/docs/adminapi#authentication-logs https://duo.com/docs/adminapi#authentication-logs")中表格的"原因"部分

success 由於成功登入活動量很大,我們不會因此而接收警報。

篩選

我們查詢身份驗證日誌端點。請參閱 驗證日誌

我們篩選結果僅確認格式。

威脅映射示例

如果"原因"欄位為空,則使用"event_type"值。否則,我們將使用"Reason"-"=> IsEmpty(felds.Reason)的值? fields.event_type : fields.reason"

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

供應商文檔

配置權限和憑據

注意

Duo API的限制是每分鐘1個請求。在分頁呼叫之間,我們有1分鐘的延遲,但過去我們看到一些客戶將Duo憑證與其他服務(例如Splunk)一起使用,而這些服務“竊取”速率限制,導致多個節流/ 429故障。如果是這種情況,您需要對每個服務使用唯一的憑據集。