Integrar a Cisco Duo
Você deve ter o pacote de licença de integrações "Identity" para usar esse recurso.
Você pode integrar a Duo ao Sophos Central para que envie dados sobre as tentativas de autenticação dos usuários à Sophos para análise.
Essa integração é baseada em API. Você deve obter os detalhes da Admin API da Duo (chave de integração, chave de segurança e nome de host) e alterar as permissões na Duo.
As etapas principais são as seguintes:
- Obtenha os detalhes da Duo.
- Configure uma integração no Sophos Central.
Obter detalhes da Duo
Para obter os detalhes da Duo necessários para a integração, faça o seguinte:
- Faça login em Duo Admin Panel e vá para Applications.
- Clique em Protect an Application e localize Admin API na lista.
- Clique em Protect e salve a chave de integração, a chave secreta e o nome do host para usar posteriormente no Sophos Central.
- Defina Permission como Grant read log.
Em seguida, você configura uma integração no Sophos Central.
Configurar uma integração
Para integrar a Duo ao Sophos Central, faça o seguinte:
- Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
-
Clique em Cisco Duo.
A página Cisco Duo é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.
-
Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.
Nota
Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.
-
Em Etapas de integração, faça o seguinte:
- Insira o Nome da integração e a Descrição da integração.
-
Insira o Nome do host, a Chave secreta e a Chave de integração que você obteve da Duo.
O nome de host deve ser o do formulário
api-xxxxxxxx.duosecurity.com
. Não adicionehttps://
à URL.
-
Clique em Salvar.
Nós criamos a integração e ela aparece na sua lista. Se o seu ícone de status mostrar uma marca verde, seus dados deverão aparecer no Sophos Data Lake após a validação.