Duo安全
Duo安全设置要求
默认情况下Duo没有启用AdminAPI。因此,您必须联系您的Duo代表,以使AdminAPI能够利用此集成。
如果需要,请提供有关API的文档这里.
一旦它们被启用,您将需要加载Duo日志。要加载Duo日志,收集器需要能够连接到https:// [customersubdomain] .duosecurity.com.
建立Duo安全管理API集成
Insightops提供对Duo安全性监视用户帐户和身份验证的支持。通过配置具有Duo安全性的秘密密钥可以提供此功能,该功能提供对其数据的网络访问。
执行以下步骤以使Insightops收集器接收从Duo安全性接收日志。
- 联系Duo Security客户支持并请求他们解锁管理API,以便为Insightops访问身份验证日志历史记录。
- 在Duo Admin面板中创建一个管理API集成。
- 复制集成密钥,秘密密钥和特定子域以获取管理API集成。
- 在InsightOps事件源设置页面的相应字段中输入凭据。
注意:身份验证日志可以通过Admin API集成从Duo Security获得。此集成仅对企业版客户可用,并可根据要求启用。如果您是企业版客户,并没有要求Admin API集成,请联系Duo安全支持并请求它。
创建新的集成:
- 登录DUO安全管理面板。
- 单击左侧边栏中的集成。
- 单击+新集成按钮。显示一个屏幕,提示您选择集成类型。
- 从“集成类型”下拉列表中选择“管理API”。
- 在集成名称字段中输入集成的名称。这个名称在insighttops中不使用,可以是您喜欢的任何名称。
- 单击“创建集成”按钮。
- 向下滚动到Permissions,并选择Grant read log旁边的复选框,以便向API应用程序授予权限。然后保存更改。将显示“集成属性”页面。
- 在“集成键”字段中输入集成键。
- 在密钥字段中输入Duo安全性提供的密钥。
- 在API主机名字段中输入API主机名。
如何配置此事件源
将此信息输入Insightops事件源设置,以便事件源恢复DUO安全性。创建令牌后,您需要在Insightops中编辑Duo安全事件源。执行以下步骤。
- 从仪表板上,选择左手菜单上的Data Collection
- 在页面右上方,选择“添加数据”
- 从安全数据部分中选择云服务图标
- 选择收集器,并选择命名您的活动源
- 从事件源选项列表中,选择Duo Security
- 选择一个时区,或者选择只显示美国时区
- 可选择选择发送未过滤的日志
- 在“集成键”字段中输入集成键。
- 选择现有凭据或创建新凭据。
- 在“secret key”字段中输入密钥。
- 在Duo子域字段中以的形式输入Duo子域
api-xxxxxxxx..- 例如,如果你有
api-12ab3456.yourdomain.com你会使用api-12ab3456作为子域。
- 例如,如果你有
- 输入刷新速率,单位为分钟。
- 配置任何高级设置。
- 单击“保存”。
高级事件源设置
倒下域名:如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。
例如,如果您的公司是美国和加拿大,但两个地点都有一个名为“John Smith”的用户,您的主要域名是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。
故障排除
使用Windows收集器时,您可能会在使用硬化密码套件时遇到连接到DUO的问题。Duo建议使用Microsoft修补程序来解决TLS1.1或TLS1.2的问题。可以找到更多信息这里.
Duo Security集成了广泛的设备和应用程序。点击这里为更多的信息。
这个页面对你有帮助吗?