コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

Cisco Duo の統合

Cisco Duo を Sophos Central と統合することで、ソフォスでの解析用に、ユーザーの認証試行に関するデータを送信することができます。

このページでは、統合の概要を説明します。

Cisco Duo 製品の概要

Cisco Duo の多要素認証 (MFA) ソリューションは、アプリケーションへのアクセスを許可する前にユーザの ID を確認するように設計されたクラウドベースのプラットフォームです。これは、新たなセキュリティレイヤーを追加することで実現され、ユーザーが ID を認証するために 2つ以上の検証方法を提供できるようにします。

ソフォス製品ドキュメント

Cisco Duo の統合

取り込まれる内容

理由が denied または fraud の場合に警告を取り込みます。

ソフォスで表示される警告の例:

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

完全に取り込まれる警告

理由が denied または fraud の場合は、すべてのアラートを取り込みます。

警告の完全なリストについては、[[Authentication logs]](https://duo.com/docs/adminapi#authentication-logs "https://duo.com/docs/adminapi#authentication-logs") の表の "reasons" のセクションを参照してください。

成功したログインアクティビティが大量にあるため、理由 success の警告は取得されません。

フィルタリング

ソフォスでは、認証ログエンドポイントを照会します。認証ログを参照してください。

結果をフィルタリングして、形式のみを確認します。

脅威マッピングの例

"reason" フィールドが空の場合は、"event_type" の値を使用します。フィールドが空でない場合は、reason" - "=> isEmpty(fields.reason) ? fields.event_type : fields.reason" の値を使用します。

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

ベンダーのドキュメント

権限と認証情報の設定

Duo API には、1分あたりの 1要求の制限があります。ページング設定されたコールの間に 1分遅れが発生しますが、一部のお客様が他のサービス (Splunk など) で Duo 認証情報を使用していて、これらのサービスがレート制限の割り当てを「盗用」していたため、複数のスロットリング/429 エラーが発生する事例を確認しています。その場合は、サービスごとに一意の認証情報セットを使用する必要があります。