Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Cisco Duo-Integration

Sie können Cisco Duo in Sophos Central integrieren, sodass Daten über die Authentifizierungsversuche von Benutzern an Sophos zur Analyse gesendet werden.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Cisco Duo-Produktübersicht

Duo, die Lösung für Multi-Faktor-Authentifizierung (MFA) von Cisco, ist eine Cloud-basierte Plattform, welche die Identität von Benutzern bestätigt, bevor diesen der Zugriff auf Anwendungen gewährt wird. Dazu wird eine zusätzliche Sicherheitsschicht hinzugefügt, die sicherstellt, dass Benutzer zwei oder mehr Verifizierungsmethoden zur Authentifizierung ihrer Identität verwenden.

Sophos-Dokumente

Cisco Duo integrieren

Was wir erfassen

Wir erfassen Warnmeldungen, wobei der Grund denied oder fraud lautet.

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

Alarme werden vollständig erfasst

Wir erfassen alle Warnmeldungen, wobei der Grund denied oder fraud lautet.

Eine vollständige Liste der Warnmeldungen finden Sie im Abschnitt „Gründe“ der Tabelle in [Authentifizierungsprotokolle]](https://duo.com/docs/adminapi#authentication-logs „https://duo.com/docs/adminapi#authentication-logs“)

Aufgrund der Vielzahl der erfolgreichen Anmeldungen erfassen wir keine Warnmeldungen mit dem Grund success.

Filterung

Wir fragen den Endpoint der Authentifizierungsprotokolle ab. Siehe Authentifizierungsprotokolle

Wir filtern die Ergebnisse, um nur das Format zu bestätigen.

Beispiele für Bedrohungszuordnungen

Wenn das Feld „Grund“ leer ist, verwenden Sie den Wert „event_type“. Andernfalls verwenden wir den Wert des Felds „Grund“ – "=> isEmpty(fields.reason) ? fields.event_type : fields.reason"

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

Herstellerdokumentation

Berechtigungen und Anmeldeinformationen konfigurieren

Hinweis

Duo API ist auf 1 Anfrage pro Minute begrenzt. Eine Verzögerung von 1 Minute tritt zwischen paginierten Aufrufen auf. In der Vergangenheit haben wir festgestellt, dass einige Kunden Duo-Anmeldeinformationen mit anderen Diensten (zum Beispiel Splunk) verwendet haben und diese Dienste die Ratenbegrenzung zu sehr beanspruchen, was zu mehreren Drosselungen/429-Fehlern führte. In diesem Fall müssen Sie für jeden Service eindeutige Anmeldeinformationen verwenden.