Cisco Duo-Integration
Sie können Cisco Duo in Sophos Central integrieren, sodass Daten über die Authentifizierungsversuche von Benutzern an Sophos zur Analyse gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Cisco Duo-Produktübersicht
Duo, die Lösung für Multi-Faktor-Authentifizierung (MFA) von Cisco, ist eine Cloud-basierte Plattform, welche die Identität von Benutzern bestätigt, bevor diesen der Zugriff auf Anwendungen gewährt wird. Dazu wird eine zusätzliche Sicherheitsschicht hinzugefügt, die sicherstellt, dass Benutzer zwei oder mehr Verifizierungsmethoden zur Authentifizierung ihrer Identität verwenden.
Sophos-Dokumente
Was wir erfassen
Wir erfassen Warnmeldungen, wobei der Grund denied
oder fraud
lautet.
Beispiel für Warnmeldungen, die Sophos gesehen hat:
deny_unenrolled_user
invalid_device
user_marked_fraud
country_code_mismatch
Alarme werden vollständig erfasst
Wir erfassen alle Warnmeldungen, wobei der Grund denied
oder fraud
lautet.
Eine vollständige Liste der Warnmeldungen finden Sie im Abschnitt „Gründe“ der Tabelle in [Authentifizierungsprotokolle]](https://duo.com/docs/adminapi#authentication-logs „https://duo.com/docs/adminapi#authentication-logs“)
Aufgrund der Vielzahl der erfolgreichen Anmeldungen erfassen wir keine Warnmeldungen mit dem Grund success
.
Filterung
Wir fragen den Endpoint der Authentifizierungsprotokolle ab. Siehe Authentifizierungsprotokolle
Wir filtern die Ergebnisse, um nur das Format zu bestätigen.
Beispiele für Bedrohungszuordnungen
Wenn das Feld „Grund“ leer ist, verwenden Sie den Wert „event_type“. Andernfalls verwenden wir den Wert des Felds „Grund“ – "=> isEmpty(fields.reason) ? fields.event_type : fields.reason"
{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}
Herstellerdokumentation
Berechtigungen und Anmeldeinformationen konfigurieren
Hinweis
Duo API ist auf 1 Anfrage pro Minute begrenzt. Eine Verzögerung von 1 Minute tritt zwischen paginierten Aufrufen auf. In der Vergangenheit haben wir festgestellt, dass einige Kunden Duo-Anmeldeinformationen mit anderen Diensten (zum Beispiel Splunk) verwendet haben und diese Dienste die Ratenbegrenzung zu sehr beanspruchen, was zu mehreren Drosselungen/429-Fehlern führte. In diesem Fall müssen Sie für jeden Service eindeutige Anmeldeinformationen verwenden.