Opzioni di configurazione del protocollo Cisco Duo
Per ricevere eventi di autenticazione da Cisco Duo, configurare un'origine log per utilizzare il protocollo Cisco Duo.
Il protocollo Cisco Duo è un protocollo in uscita attivo che raccoglie i log di autenticazione dall'API Cisco Duo Admin e invia eventi di autenticazione a IBM QRadar.
- Accedere al portale di amministrazione Cisco Duo (https://admin.duosecurity.com/).
- Dal dashboard, vai alla scheda Applications e fai clic su Protect an Application.
- Vai sull'applicazione Admin API e fai clic su Protect.
- Nel menu Autorizzazioni, selezionare Concedi log di lettura in modo che Cisco possa raccogliere altri log di autenticazione dall'API Admin.
- Copia i valori per Integration key, Secret keye API hostname. Questi valori sono necessari quando si configurano i parametri del protocollo Cisco Duo.
La seguente tabella descrive i parametri specifici del protocollo per il protocollo Cisco Duo:
| Parametro | Descrizione |
|---|---|
| Tipo di origine log | Duo Cisco |
| Configurazione protocollo | Duo Cisco |
| Identificativo origine log | Immettere un nome univoco per l'origine log come identificativo per gli eventi da Cisco Duo. Il valore del parametro Identificatore origine log deve corrispondere al parametro Host quando si utilizza il flusso di lavoro predefinito Cisco Duo. Se il flusso di lavoro predefinito Cisco Duo viene modificato, l' Identificativo origine log deve corrispondere al valore Origine - |
| Host | Il nome host API nel portale Cisco Duo utilizzato per l'autenticazione con l'API Cisco Duo Admin. Esaminare la procedura precedente per ottenere queste informazioni da Cisco Duo. |
| Chiave integrazione | La chiave di integrazione utilizzata per eseguire l'autenticazione con l'API Cisco Duo Admin. Esaminare la procedura precedente per ottenere queste informazioni da Cisco Duo. |
| Chiave segreta | La chiave segreta utilizzata per autenticarsi con l'API Cisco Duo Admin. Esaminare la procedura precedente per ottenere queste informazioni da Cisco Duo. |
| Utilizza proxy | Se si accede all'API utilizzando un proxy, selezionare questa casella di controllo. Configurare i campi Nome host o IP proxy, Porta proxy, Nome utente proxye Password proxy . Se il proxy non richiede l'autenticazione, è possibile lasciare vuoti i campi Nome utente proxy e Password proxy . |
| Ricorrenza | Specificare la frequenza con cui il log raccoglie i dati. Il formato è M/H/D per Minuti / Ora/Giorni. Il valore predefinito è 5 minuti. |
| Limitazione EPS | Il numero massimo di eventi al secondo che QRadar ingerisce. Se l'origine dati supera il throttle EPS, la raccolta dati viene ritardata. I dati vengono ancora raccolti e vengono inseriti quando l'origine dati smette di superare il throttle EPS. Il valore predefinito è 5000. |
| Abilita opzioni avanzate | Selezionare questa casella di spunta per abilitare le seguenti opzioni di configurazione: Consenti certificati non attendibili, Sovrascrivi flusso di lavoro, Flusso di lavoroe Parametri flusso di lavoro. Questi parametri sono visibili solo se si seleziona questa casella di spunta. |
| Consenti non attendibili | Se si abilita questo parametro, il protocollo può accettare certificati autofirmati e non attendibili che si trovano all'interno della directory /opt/qradar/conf/trusted_certificates/ . Se si disabilita il parametro, lo scanner considera attendibili solo i certificati firmati da un firmatario attendibile. I certificati devono essere in formato binario con codifica PEM o RED e devono essere salvati come file .crt o .cert . Se si modifica il flusso di lavoro per includere un valore codificato per il parametro Consenti certificati non attendibili , il flusso di lavoro sovrascrive la selezione nell'interfaccia utente. Se non si include questo parametro nel flusso di lavoro, viene utilizzata la selezione nell'interfaccia utente. |
| Sovrascrivi flusso di lavoro | Abilitare questa opzione per personalizzare il workflow. Quando si abilita questa opzione, vengono visualizzati i campi Flusso di lavoro e Parametri flusso di lavoro . |
| Flusso di lavoro | Il documento XML che definisce il modo in cui l'istanza del protocollo raccoglie eventi dall'API di destinazione. Per ulteriori informazioni sul flusso di lavoro predefinito, consultare Flusso di lavoro del protocollo Cisco Duo. |
| Parametri workflow | Il documento XML che contiene i valori di parametro utilizzati direttamente dal workflow. Per ulteriori informazioni sui parametri del flusso di lavoro predefinito, consultare Flusso di lavoro del protocollo Cisco Duo. |
| Abilitato | Per impostazione predefinita, la casella di controllo è selezionata per consentire all'origine log di comunicare con QRadar. |
| Affidabilità | Selezionare Affidabilità dell'origine log. L'intervallo è 0 - 10. La credibilità indica l'integrità di un evento o di un'offensiva come determinato dalla valutazione di credibilità dalle periferiche di origine. L'affidabilità aumenta se più origini riportano lo stesso evento. Il valore predefinito è 5. |
| Raccoglitore eventi di destinazione | Selezionare il raccoglitore eventi di destinazione da utilizzare come destinazione per l'origine log. |
| Eventi di unione | Selezionare questa casella di controllo per abilitare l'origine log per unire gli eventi (bundle). Per impostazione predefinita, le origini log rilevate automaticamente ereditano il valore dell'elenco Eventi di unione dalle impostazioni di sistema in QRadar. Quando si crea un'origine log o si modifica una configurazione esistente, è possibile sovrascrivere il valore predefinito configurando questa opzione per ciascuna origine log. |
| Archivia payload evento | Selezionare questa casella di controllo per consentire all'origine log di memorizzare le informazioni sul payload eventi. Per impostazione predefinita, le origini log rilevate automaticamente ereditano il valore dell'elenco Memorizza payload eventi dalle impostazioni di sistema in QRadar. Quando si crea un'origine log o si modifica una configurazione esistente, è possibile sovrascrivere il valore predefinito configurando questa opzione per ciascuna origine log. |