Cisco Duo iletişim kuralı yapılandırma seçenekleri
Cisco Duo 'dan kimlik doğrulama olaylarını almak için, bir günlük kaynağını Cisco Duo protokolünü kullanacak şekilde yapılandırın.
Cisco Duo protokolü, kimlik doğrulama günlüklerini Cisco Duo Admin API 'dan toplayan ve kimlik doğrulama olaylarını IBM® QRadar®' e gönderen etkin bir giden iletişim kuralıdır.
- Cisco Duo yönetici portalda oturum açın (https://admin.duosecurity.com/).
- Gösterge panosundan Uygulamalar sekmesine gidin ve Uygulamayı Koru' yı tıklatın.
- Admin API uygulamasına gidin ve Protect(Koru) seçeneğini tıklatın.
- İzinler menüsünde Okuma günlüğü ver seçeneğini belirleyin; böylece Cisco, Admin API 'dan diğer kimlik doğrulama günlüklerini toplayabilir.
- Tümleştirme anahtarı, Gizli anahtarve API anasistem adıdeğerlerini kopyalayın. Cisco Duo iletişim kuralı parametrelerini yapılandırdığınızda bu değerlere gereksiniminiz vardır.
Aşağıdaki tabloda, Cisco Duo protokolünün protokole özgü parametreleri açıklanmaktadır:
| Parametre | Açıklama |
|---|---|
| Günlük kaynağı tipi | Cisco Duo |
| İletişim Kuralı Yapılandırması | Cisco Duo |
| Günlük Kaynağı Tanıtıcısı | Cisco Duo 'dan gelen olaylara ilişkin tanıtıcı olarak, günlük kaynağının IP adresini ya da anasistem adını yazın. Birden çok kuruluma sahip olduğunda yarattığınız her ek günlük kaynağı, IP adresi ya da anasistem adı gibi benzersiz bir tanıtıcı içerir. |
| Anasistem | Cisco Duo Denetimcisi API 'si ile kimlik doğrulaması yapmak için kullanılan Cisco Duo portalında API anasistem adı. Cisco Duo 'dan bu bilgileri edinmeye ilişkin önceki yordamı inceleyin. |
| Tümleştirme Anahtarı | Cisco Duo Denetimcisi API 'si ile kimlik doğrulaması yapmak için kullanılan bütünleştirme anahtarı. Cisco Duo 'dan bu bilgileri edinmeye ilişkin önceki yordamı inceleyin. |
| Gizli Anahtar | Cisco Duo Denetimcisi API 'si ile kimlik doğrulaması için kullanılan gizli anahtar. Cisco Duo 'dan bu bilgileri edinmeye ilişkin önceki yordamı inceleyin. |
| Yetkili Sunucu Kullan | API ' ye bir yetkili sunucu kullanılarak erişiliyorsa, bu onay kutusunu seçin. Yetkili Sunucu IP ya da Anasistem Adı, Yetkili Sunucu Kapısı, Yetkili Sunucu Kullanıcı Adıve Yetkili Sunucu Parolası alanlarını yapılandırın. Yetkili sunucu kimlik doğrulaması gerektirmiyorsa, Yetkili Sunucu Kullanıcı Adı ve Yetkili Sunucu Parolası alanlarını boş bırakabilirsiniz. |
| Yineleme | Günlüğun veri toplama sıkını belirleyin. M/H/D biçimi, Dakika/Hurs/Days olarak biçimlemektedir. Varsayılan değer 5 dakikadır. |
| EPS Daraltma | API ' den alınan olaylar için saniye başına olay sayısı üst sınırı (EPS). Varsayılan değer 5000 'dir. |
| Gelişmiş Seçenekleri Etkinleştir | Şu yapılandırma seçeneklerini etkinleştirmek için bu onay kutusunu seçin: Güvenilmeyen Sertifikalara İzin Ver, İş Akışını Geçersiz Kıl, İş Akışıve İş Akışı Parametreleri. Bu parametreler yalnızca bu onay kutusunu işaretlediğinizde görünür. |
| Güvenilmeyen 'e İzin Ver | If you enable this parameter, the protocol can accept self-signed and otherwise untrusted certificates that are located within the /opt/qradar/conf/trusted_certificates/ directory. Parametreyi devre dışı bırakırsanız, tarayıcı yalnızca güvenilen imzalayanın imzaladığı sertifikalara güvenir. Sertifikalar PEM ya da RED kodlu ikili biçimde olmalı ve bir .crt ya da .cert dosyası olarak saklanmalıdır. İş akışını, Güvenilmeyen Sertifikalara İzin Ver parametresi için değişmez olarak kodlanmış bir değer içermek üzere değiştirirseniz, iş akışı kullanıcı arabiriminde seçiminizi geçersiz kılar. Bu parametreyi iş akışınıza dahil etmezseniz, UI ' deki seçiminiz kullanılır. |
| İş Akışını Geçersiz Kıl | İş akışını uyarlamak için bu seçeneği etkinleştirin. Bu seçeneği etkinleştirdiğinizde, İş Akışı ve İş Akışı Parametreleri alanları görünür. |
| İş Akışı | Protokol eşgörünümünün hedef API ' den olayları nasıl topladığını tanımlayan XML belgesi. Varsayılan iş akışı hakkında daha fazla bilgi için bkz. Cisco Duo İletişim kuralı iş akışı. |
| İş Akışı Parametreleri | Doğrudan iş akışı tarafından kullanılan parametre değerlerini içeren XML belgesi. Varsayılan iş akışı parametreleri hakkında daha fazla bilgi için bkz. Cisco Duo protocol workflow. |
| Etkin | Varsayılan olarak, günlük kaynağının QRadarile iletişim kurmasını sağlamak için onay kutusu seçilidir. |
| Güvenilirlik | Günlük kaynağının Güvenilirlik değerini seçin. Aralık 0-10 arasıdır. Güvenilirlik, kaynak aygıtlardaki güvenilirlik değerlemesi tarafından belirlenen bir olayın ya da hücumun bütünlüğünü belirtir. Birden çok kaynak aynı olayı bildirirse, güvenilirlik artar. Varsayılan 5 'dir. |
| Hedef Olay Toplayıcısı | Günlük kaynağı için hedef olarak kullanılacak Hedef Olay Toplayıcısı ' yı seçin. |
| Olayların Birleştirmesi | Günlük kaynağını coalesce (kod paketi) olaylarına etkinleştirmek için bu onay kutusunu seçin. Varsayılan olarak, otomatik olarak keşfedilen günlük kaynakları, QRadariçindeki Sistem Ayarları 'ndan Coallesing Events listesinin değerini devralır. Bir günlük kaynağı oluşturduğunuzda ya da var olan bir yapılandırmayı düzenlediğinizde, her bir günlük kaynağı için bu seçeneği yapılandırarak varsayılan değeri geçersiz kılabilirsiniz. |
| Mağaza Olayı Bilgi Yükü | Olay bilgi yükü bilgilerini depolamak üzere günlük kaynağını etkinleştirmek için bu onay kutusunu seçin. Varsayılan olarak, otomatik olarak keşfedilen günlük kaynakları, QRadariçindeki Sistem Ayarlarından Mağaza Olayı Yükleri listesinin değerini devralır. Bir günlük kaynağı oluşturduğunuzda ya da var olan bir yapılandırmayı düzenlediğinizde, her bir günlük kaynağı için bu seçeneği yapılandırarak varsayılan değeri geçersiz kılabilirsiniz. |