Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégration Cisco Duo

Vous pouvez intégrer Cisco Duo à Sophos Central pour lui permettre d’envoyer des données sur les tentatives d’authentification des utilisateurs à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Cisco Duo

La solution d’authentification multifacteur (MFA) de Cisco Duo est une plate-forme Cloud conçue pour confirmer l’identité des utilisateurs avant de leur accorder l’accès aux applications. Elle ajoute une couche de sécurité supplémentaire, garantissant que les utilisateurs fournissent deux méthodes de vérification ou plus pour s’authentifier.

Documents Sophos

Intégrer Cisco Duo

Ce que nous ingérons

Nous ingérons des alertes lorsque la raison est denied ou fraud.

Exemples d’alertes vues par Sophos :

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

Alertes ingérées dans leur intégralité

Nous ingérons toutes les alertes où la raison est denied ou fraud.

Retrouvez une liste complète des alertes à la section « Raisons » du tableau dans [Journaux d’authentification]](https://duo.com/docs/adminapi#authentication-logs "https://duo.com/docs/adminapi#authentication-logs")

Nous n’ingérons pas d’alertes avec la raison success en raison du volume élevé d’activité de connexion réussie.

Filtrage

Nous interrogeons le terminal des journaux d’authentification. Voir Journaux d’authentification

Nous filtrons les résultats pour confirmer le format uniquement.

Exemples de mappages de menaces

Si le champ "reason" est vide, nous utilisons la valeur du champ "event_type". Sinon, nous utilisons la valeur du champ "reason" - "=> isEmpty(fields.result) ? fields.event_type : fields.reason"

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

Documentation fournisseur

Configurer les autorisations et les identifiants

Remarque

Duo API a une limite de 1 requête par minute. Nous avons défini un délai d’une minute entre les appels paginés, mais avons constaté dans le passé que certains clients utilisaient des identifiants Duo avec d’autres services (par exemple, Splunk), et que ces services « volaient » la limite de débit, entraînant des ralentissements/échecs 429. Si c'est le cas, utilisez un ensemble unique d’identifiants pour chaque service.