Cisco Duo の統合
Cisco Duo を Sophos Central と統合することで、ソフォスでの解析用に、ユーザーの認証試行に関するデータを送信することができます。
このページでは、統合の概要を説明します。
Cisco Duo 製品の概要
Cisco Duo の多要素認証 (MFA) ソリューションは、アプリケーションへのアクセスを許可する前にユーザの ID を確認するように設計されたクラウドベースのプラットフォームです。これは、新たなセキュリティレイヤーを追加することで実現され、ユーザーが ID を認証するために 2つ以上の検証方法を提供できるようにします。
ソフォス製品ドキュメント
取り込まれる内容
理由が denied または fraud の場合に警告を取り込みます。
ソフォスで表示される警告の例:
deny_unenrolled_userinvalid_deviceuser_marked_fraudcountry_code_mismatch
完全に取り込まれる警告
理由が denied または fraud の場合は、すべてのアラートを取り込みます。
警告の完全なリストについては、[[Authentication logs]](https://duo.com/docs/adminapi#authentication-logs "https://duo.com/docs/adminapi#authentication-logs") の表の "reasons" のセクションを参照してください。
成功したログインアクティビティが大量にあるため、理由 success の警告は取得されません。
フィルタリング
ソフォスでは、認証ログエンドポイントを照会します。認証ログを参照してください。
結果をフィルタリングして、形式のみを確認します。
脅威マッピングの例
"reason" フィールドが空の場合は、"event_type" の値を使用します。フィールドが空でない場合は、reason" - "=> isEmpty(fields.reason) ? fields.event_type : fields.reason" の値を使用します。
{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}
ベンダーのドキュメント
注
Duo API には、1分あたりの 1要求の制限があります。ページング設定されたコールの間に 1分遅れが発生しますが、一部のお客様が他のサービス (Splunk など) で Duo 認証情報を使用していて、これらのサービスがレート制限の割り当てを「盗用」していたため、複数のスロットリング/429 エラーが発生する事例を確認しています。その場合は、サービスごとに一意の認証情報セットを使用する必要があります。