Cisco Duoインテグレーションガイド

以下の手順は、Secureworks® Taegis™ XDRへのログ取り込みを容易にするためのCisco Duoインテグレーションの設定方法です。

注意

Cisco Duoをインテグレーションすることで、XDRはDuoからイベントログを収集できるようになります。本ガイドは、XDRへのSSOのためのDuoインテグレーションについては対象外です。

Cisco Duoの要件

Ownerロールを持つCisco Duo管理者ユーザーアカウントが必要です。ユーザーはDuo管理パネルでAdmin APIアプリケーションを作成または変更する権限を持っている必要があります。

インテグレーションから提供されるデータ

XDRがサポートするCisco Duoイベントタイプは以下の通りです。

• 認証イベント

注意

上記に記載されていないCisco Duoイベントタイプは、genericスキーマに正規化されます。

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
Cisco Duo		Auth

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Cisco Duo Admin APIの設定

1. ベンダーのドキュメントを参照し、Duo Admin APIを設定してください。

2. Grant read log権限が有効になっていることを確認してください。

3. Integration Key、Secret Key、API Hostnameをコピーしてください。これらの値は、XDRでインテグレーションを完了する際に必要となります。

XDRでのインテグレーションの完了

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。
2. ページ上部のインテグレーションの追加を選択します。

インテグレーションの追加

3. 最適化されたタブからCisco Duoを選択します。

   

   インテグレーションの作成

4. 以下のフィールドを入力します:

   • インテグレーション名 — 任意の一意な文字列
   • Integration Key — 設定セクションで生成
   • Secret Key — 設定セクションで生成
   • API Hostname — 設定セクションで生成

5. 完了を選択します。正常に追加されたCisco DuoインテグレーションがクラウドAPIインテグレーションの一覧に表示されます。

   ヒント

   上記ステップ3で定義したインテグレーション名を使用して、クラウドAPIインテグレーションテーブル内でインテグレーションを識別できます。

サンプルログ

Cisco Duo認証イベント

{
    "access_device": {
        "browser": "Edge Chromium",
        "browser_version": "113.0.1774.50",
        "epkey": "XXX4LNVTCXXXLGXXX874",
        "flash_version": "uninstalled",
        "hostname": null,
        "ip": "10.10.10.10",
        "is_encryption_enabled": "unknown",
        "is_firewall_enabled": "unknown",
        "is_password_set": "unknown",
        "java_version": "uninstalled",
        "location": {
            "city": "Staten Island",
            "country": "United States",
            "state": "New York"
        },
        "os": "Windows",
        "os_version": "11"
    },
    "adaptive_trust_assessments": {
        "more_secure_auth": {
            "features_version": null,
            "model_version": null,
            "policy_enabled": false,
            "reason": "Not requested",
            "trust_level": "UNSET"
        },
        "remember_me": {
            "features_version": "3.0",
            "model_version": "2022.07.19.001",
            "policy_enabled": false,
            "reason": "Known Access IP",
            "trust_level": "NORMAL"
        }
    },
    "alias": "",
    "application": {
        "key": "XXXKZ5XXXQY0LXXXP63E",
        "name": "Citrix(Web)"
    },
    "auth_device": {
        "ip": "10.10.10.10",
        "key": "XXX5ZTZXXXVZ3XXX2IR5",
        "location": {
            "city": "Staten Island",
            "country": "United States",
            "state": "New York"
        },
        "name": "123-456-7890"
    },
    "email": "user123@publicdomain.com",
    "event_type": "authentication",
    "factor": "duo_push",
    "isotimestamp": "2023-05-26T14:03:24.454814+00:00",
    "ood_software": null,
    "reason": "user_approved",
    "result": "success",
    "timestamp": 1685109804,
    "trusted_endpoint_status": "unknown",
    "txid": "9db06fea-d301-4dc1-95e5-702386ec9f51",
    "user": {
        "groups": [
            "Duo_Citrix (from AD sync \"MY_LDAPS\")",
            "DuoAzureAD (from AD sync \"MY_LDAPS\")",
            "DuoEnrollmentGroup (from AD sync \"MY_LDAPS\")"
        ],
        "key": "XXXO54YXXXVGTMXXXAR6",
        "name": "user123"
    },
    "eventtype": "authentication",
    "host": "api-xxxxxxxx.duosecurity.com"
}