Duo安全

Duo安全设置要求

Duo默认情况下未启用AdminAPI。因此，您必须联系Duo代表以使AdminAPI能够利用此集成。

如果需要，可提供API文档这里.

一旦它们被启用，您将需要加载Duo日志。要加载Duo日志，收集器需要能够连接到https://[customersubdomain].duosecurity.com.

设置Duo Security Admin API集成

Insightops提供对Duo安全性监视用户帐户和身份验证的支持。通过配置具有Duo安全性的秘密密钥可以提供此功能，该功能提供对其数据的网络访问。

执行以下步骤以使Insightops收集器接收从Duo安全性接收日志。

1. 联系Duo Security客户支持并请求他们解锁管理API，以便为Insightops访问身份验证日志历史记录。
2. 在Duo管理面板中创建管理API集成。
3. 复制集成密钥，秘密密钥和特定子域以获取管理API集成。
4. 在InsightOps事件源设置页面的相应字段中输入凭据。

注意：Duo Security通过Admin API集成提供身份验证日志。此集成仅适用于Enterprise edition客户，并可根据要求启用。如果您是Enterprise edition客户，并且尚未请求管理API集成，请联系Duo Security support并请求。

创建新的集成：

1. 登录DUO安全管理面板。
2. 单击左侧边栏中的集成。
3. 单击+新集成按钮。显示一个屏幕，提示您选择集成类型。
4. 从“集成类型”下拉列表中选择“管理API”。
5. 在集成名称字段中输入集成的名称。此名称不用于InsightOps，可以是您喜欢的任何名称。
6. 单击创建集成按钮。
7. 向下滚动至“权限”，然后选中“授予读取日志”旁边的复选框，以便向API应用程序授予权限。然后保存更改。将显示集成属性页面。
8. 在集成密钥字段中输入集成密钥。
9. 在密钥字段中输入Duo安全性提供的密钥。
10. 在API主机名字段中输入API主机名。

如何配置此事件源

将此信息输入Insightops事件源设置，以便事件源恢复DUO安全性。创建令牌后，您需要在Insightops中编辑Duo安全事件源。执行以下步骤。

1. 从仪表板中，选择左侧菜单上的数据采集
2. 在页面右上角，选择添加数据
3. 从安全数据部分中选择云服务图标
4. 选择收集器，并选择命名您的活动源
5. 从事件源选项列表中，选择Duo Security
6. 选择时区，或选择仅显示美国时区
7. 可选择选择发送未过滤的日志
8. 在集成密钥字段中输入集成密钥。
9. 选择现有凭据或创建新凭据。
10. 在“密钥”字段中输入密钥。
11. 在Duo subdomain字段中输入Duo subdomain，格式为api-xxxxxxxx..
    • 例如，如果你有api-12ab3456.yourdomain.com你会使用api-12ab3456作为子域。
12. 以分钟为单位输入刷新率。
13. 配置任何高级设置。
14. 单击“保存”。

高级事件源设置

倒下域名：如果您有在多域环境中运行的事件源，Rapid7建议使用回退域来解决用户帐户的任何问题。

例如，如果您的公司是美国和加拿大，但两个地点都有一个名为“John Smith”的用户，您的主要域名是公司网站，您的回退域可能是美国公司，这将允许InsightOps更准确地将数据归因于正确的用户。

故障排除

使用Windows收集器时，您可能会在使用硬化密码套件时遇到连接到DUO的问题。Duo建议使用Microsoft修补程序来解决TLS1.1或TLS1.2的问题。可以找到更多信息这里.

Duo Security与多种设备和应用程序集成。点击这里了解更多信息。