Duo安全

Duo安全设置要求

默认情况下Duo没有启用AdminAPI。因此,您必须联系您的Duo代表,以使AdminAPI能够利用此集成。

如果需要,请提供有关API的文档这里

一旦它们被启用,您将需要加载Duo日志。要加载Duo日志,收集器需要能够连接到https:// [customersubdomain] .duosecurity.com

建立Duo安全管理API集成

Insightops提供对Duo安全性监视用户帐户和身份验证的支持。通过配置具有Duo安全性的秘密密钥可以提供此功能,该功能提供对其数据的网络访问。

执行以下步骤以使Insightops收集器接收从Duo安全性接收日志。

  1. 联系Duo Security客户支持并请求他们解锁管理API,以便为Insightops访问身份验证日志历史记录。
  2. 在Duo Admin面板中创建一个管理API集成。
  3. 复制集成密钥,秘密密钥和特定子域以获取管理API集成。
  4. 在InsightOps事件源设置页面的相应字段中输入凭据。

注意:身份验证日志可以通过Admin API集成从Duo Security获得。此集成仅对企业版客户可用,并可根据要求启用。如果您是企业版客户,并没有要求Admin API集成,请联系Duo安全支持并请求它。

创建新的集成:

  1. 登录DUO安全管理面板。
  2. 单击左侧边栏中的集成。
  3. 单击+新集成按钮。显示一个屏幕,提示您选择集成类型。
  4. 从“集成类型”下拉列表中选择“管理API”。
  5. 在集成名称字段中输入集成的名称。这个名称在insighttops中不使用,可以是您喜欢的任何名称。
  6. 单击“创建集成”按钮。
  7. 向下滚动到Permissions,并选择Grant read log旁边的复选框,以便向API应用程序授予权限。然后保存更改。将显示“集成属性”页面。
  8. 在“集成键”字段中输入集成键。
  9. 在密钥字段中输入Duo安全性提供的密钥。
  10. 在API主机名字段中输入API主机名。

如何配置此事件源

将此信息输入Insightops事件源设置,以便事件源恢复DUO安全性。创建令牌后,您需要在Insightops中编辑Duo安全事件源。执行以下步骤。

  1. 从仪表板上,选择左手菜单上的Data Collection
  2. 在页面右上方,选择“添加数据”
  3. 从安全数据部分中选择云服务图标
  4. 选择收集器,并选择命名您的活动源
  5. 从事件源选项列表中,选择Duo Security
  6. 选择一个时区,或者选择只显示美国时区
  7. 可选择选择发送未过滤的日志
  8. 在“集成键”字段中输入集成键。
  9. 选择现有凭据或创建新凭据。
  10. 在“secret key”字段中输入密钥。
  11. 在Duo子域字段中以的形式输入Duo子域api-xxxxxxxx.
    • 例如,如果你有api-12ab3456.yourdomain.com你会使用api-12ab3456作为子域。
  12. 输入刷新速率,单位为分钟。
  13. 配置任何高级设置。
  14. 单击“保存”。

高级事件源设置

倒下域名:如果您在多域环境中运行事件源,Rapid7建议使用后备域来解决用户帐户的任何问题。

例如,如果您的公司是美国和加拿大,但两个地点都有一个名为“John Smith”的用户,您的主要域名是company.com,你的备用域名可能是company.ca,这将允许InsightOps更准确地将数据归为正确的用户。

故障排除

使用Windows收集器时,您可能会在使用硬化密码套件时遇到连接到DUO的问题。Duo建议使用Microsoft修补程序来解决TLS1.1或TLS1.2的问题。可以找到更多信息这里

Duo Security集成了广泛的设备和应用程序。点击这里为更多的信息。