Intégration Cisco Duo
Vous pouvez intégrer Cisco Duo à Sophos Central pour lui permettre d’envoyer des données sur les tentatives d’authentification des utilisateurs à Sophos pour analyse.
Cette page vous donne une vue générale de l’intégration.
Présentation du produit Cisco Duo
La solution d’authentification multifacteur (MFA) de Cisco Duo est une plate-forme Cloud conçue pour confirmer l’identité des utilisateurs avant de leur accorder l’accès aux applications. Elle ajoute une couche de sécurité supplémentaire, garantissant que les utilisateurs fournissent deux méthodes de vérification ou plus pour s’authentifier.
Documents Sophos
Ce que nous ingérons
Nous ingérons des alertes lorsque la raison est denied
ou fraud
.
Exemples d’alertes vues par Sophos :
deny_unenrolled_user
invalid_device
user_marked_fraud
country_code_mismatch
Alertes ingérées dans leur intégralité
Nous ingérons toutes les alertes où la raison est denied
ou fraud
.
Retrouvez une liste complète des alertes à la section « Raisons » du tableau dans [Journaux d’authentification]](https://duo.com/docs/adminapi#authentication-logs "https://duo.com/docs/adminapi#authentication-logs")
Nous n’ingérons pas d’alertes avec la raison success
en raison du volume élevé d’activité de connexion réussie.
Filtrage
Nous interrogeons le terminal des journaux d’authentification. Voir Journaux d’authentification
Nous filtrons les résultats pour confirmer le format uniquement.
Exemples de mappages de menaces
Si le champ "reason" est vide, nous utilisons la valeur du champ "event_type". Sinon, nous utilisons la valeur du champ "reason" - "=> isEmpty(fields.result) ? fields.event_type : fields.reason"
{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}
Documentation fournisseur
Configurer les autorisations et les identifiants
Remarque
Duo API a une limite de 1 requête par minute. Nous avons défini un délai d’une minute entre les appels paginés, mais avons constaté dans le passé que certains clients utilisaient des identifiants Duo avec d’autres services (par exemple, Splunk), et que ces services « volaient » la limite de débit, entraînant des ralentissements/échecs 429. Si c'est le cas, utilisez un ensemble unique d’identifiants pour chaque service.