Cisco Duo集成
您可以將 Cisco Duo 與 Sophos Central 整合,以便其將有關使用者驗證嘗試的資料傳送到 Sophos 進行分析。
此頁面提供集成的概述。
Cisco Duo產品概述
Cisco Duo 的多重要素驗證 (MFA) 解決方案是一個基於雲端的平台,旨在在授與使用者應用程式存取權限之前確認使用者的身分。它透過新增額外的安全層來實現這一點,確保使用者提供兩種或多種驗證方法來驗證其身分。
Sophos文檔
我們攝取的東西
我們在原因是 denied
或的地方攝取警報 fraud
。
Sophos看到的示例警報:
deny_unenrolled_user
invalid_device
user_marked_fraud
country_code_mismatch
已擷取完整警示
我們會在原因為 denied
或 fraud
的地方攝取所有警報。
有關警報的完整列表,請參閱[身份驗證日誌]](https://duo.com/docs/adminapi#authentication-logs https://duo.com/docs/adminapi#authentication-logs")中表格的"原因"部分
success
由於成功登入活動量很大,我們不會因此而接收警報。
篩選
我們查詢身份驗證日誌端點。請參閱 驗證日誌
我們篩選結果僅確認格式。
威脅映射示例
如果"原因"欄位為空,則使用"event_type"值。否則,我們將使用"Reason"-"=> IsEmpty(felds.Reason)的值? fields.event_type : fields.reason"
{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}
供應商文檔
注意
Duo API的限制是每分鐘1個請求。在分頁呼叫之間,我們有1分鐘的延遲,但過去我們看到一些客戶將Duo憑證與其他服務(例如Splunk)一起使用,而這些服務“竊取”速率限制,導致多個節流/ 429故障。如果是這種情況,您需要對每個服務使用唯一的憑據集。