주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

Cisco Duo 통합

Sophos Central에 Cisco Duo를 통합하면 Sophos로 사용자의 인증 시도에 대한 데이터를 전송하여 분석할 수 있습니다.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Cisco Duo 제품 개요

Cisco Duo의 MFA(다단계 인증) 솔루션은 사용자에게 애플리케이션에 대한 액세스 권한을 부여하기 전에 사용자의 신원을 확인하도록 설계된 클라우드 기반 플랫폼입니다. 이는 추가 보안 계층을 추가하여 사용자가 자신의 신원을 인증하기 위해 두 가지 이상의 확인 방법을 제공하도록 보장함으로써 이를 수행합니다.

Sophos 문서

Cisco Duo 통합

우리가 섭취하는 것

이유가 denied 또는 인 경우 알림을 수집합니다. fraud

Sophos에서 볼 수 있는 샘플 경고:

  • deny_unenrolled_user
  • invalid_device
  • user_marked_fraud
  • country_code_mismatch

알림이 완전히 수집됨

이유가 denied 또는 인 경우 모든 경고를 수집합니다. fraud

전체 경고 목록은 [Authentication logs]](https://duo.com/docs/adminapi#authentication-logs "https://duo.com/docs/adminapi#authentication-logs" 있는 표의 "reasons" 섹션을 참조하십시오.

success 로그인 활동의 양이 많기 때문에 그 이유가 포함된 경고를 수집하지 않습니다.

필터링

인증 로그 끝점을 쿼리합니다. 인증 로그 보기

결과를 필터링하여 형식만 확인합니다.

위협 매핑 샘플

"reason" 필드가 비어 있으면 "event_type" 값을 사용합니다. 그렇지 않으면 "reason" - "=> IsEmpty(fields.reason) ? 값을 사용합니다. fields.event_type : fields.reason

{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}

공급업체 설명서

사용 권한 및 자격 증명 구성

참고

Duo API는 분당 1개의 요청으로 제한됩니다. 호출된 통화 간에 1분 지연이 있지만, 과거에는 일부 고객이 다른 서비스(예: Splunk)와 함께 Duo 자격 증명을 사용했으며 이러한 서비스가 속도 제한 할당을 "훔쳐" 여러 스로틀링/429 장애를 일으켰습니다. 이 경우 각 서비스에 대해 고유한 자격 증명 집합을 사용해야 합니다.