Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=cisco-duo-overview

Integración de Cisco Duo

Puede integrar Cisco Duo con Sophos Central para que envíe datos de los intentos de autenticación de los usuarios a Sophos para analizarlos.

Esta página presenta una visión general de la integración.

Resumen del producto Cisco Duo

La solución de autenticación multifactor (MFA) de Cisco Duo es una plataforma basada en la nube diseñada para confirmar la identidad de los usuarios antes de concederles acceso a las aplicaciones. Para ello, añade una capa adicional de seguridad, velando por que los usuarios proporcionen dos o más métodos de verificación para autenticar su identidad.

Documentos de Sophos

Integrar Cisco Duo

Datos que ingerimos

Ingestamos alertas en las que el motivo es denied o fraud.

Ejemplos de alertas vistas por Sophos:

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

Alertas ingeridas en su totalidad

Ingerimos todas las alertas en las que el motivo es denied o fraud.

Para obtener una lista completa de las alertas, consulte la sección "Motivos" de la tabla en [Registros de autenticación]](https://duo.com/docs/adminapi#authentication-logs)

No ingerimos alertas con el motivo success debido al elevado volumen de inicio de sesión satisfactorio.

Filtrado

Consultamos la estación de trabajo de los registros de autenticación. Consulte Registros de autenticación

Filtramos los resultados para confirmar solo el formato.

Muestra de asignaciones de amenazas

Si el campo "razón" está vacío, utilizamos el valor de "event_type". De lo contrario, usamos el valor de "razón" - "=> isEmpty(fields.reason) ? fields.event_type : fields.reason"

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

Documentación del proveedor

Configurar permisos y credenciales

Note

La API de Duo tiene un límite de una solicitud por minuto. Tenemos un retraso de un minuto entre las llamadas paginadas, pero hemos visto en el pasado que algunos clientes usaban credenciales de Duo con otros servicios (por ejemplo, Splunk), y estos servicios "robaban” el límite de velocidad máximo, lo que resultó en múltiples fallos de limitación/429. Si ese es el caso, debe usar un conjunto único de credenciales para cada servicio.