Einleitung
![DUO Login Flow](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-00.png)
In diesem Dokument wird beschrieben, wie Sie Duo Trusted EndPoints in Cisco Secure EndPoint integrieren.
Hintergrundinformationen
Die Integration von Cisco Secure EndPoint und Duo ermöglicht eine effektive Zusammenarbeit bei der Reaktion auf Bedrohungen, die auf vertrauenswürdigen Netzwerkgeräten erkannt werden. Diese Integration wird durch mehrere Geräteverwaltungstools erreicht, die die Zuverlässigkeit der einzelnen Geräte gewährleisten. Zu diesen Tools gehören:
- Active Directory Domain Services
- Active Directory mit Gerätestatus
- Allgemein mit Gerätezustand
- Anpassung an den Gerätezustand
- Jamf Pro mit Gerätestatus
- LANDESK Management-Suite
- Mac OS X Enterprise Asset Management-Tool
- Manuell mit Gerätestatus
- Windows Enterprise Asset Management-Tool
- Workspace 1 mit Geräteintegration
Sobald die Geräte in ein Tool für das Gerätemanagement integriert sind, können Cisco Secure EndPoint und Duo über API
im Administration Panel
. Anschließend muss die entsprechende Richtlinie in Duo konfiguriert werden, um die Überprüfung vertrauenswürdiger Geräte auszuführen und kompromittierte Geräte zu erkennen, die von Duo geschützte Anwendungen beeinträchtigen können.
Hinweis: In diesem Fall arbeiten wir mit Active Directory und Device Health.
Voraussetzungen
- Active Directory für die Integration.
- Um Duo mit vertrauenswürdigen Endgeräten zu integrieren, müssen Ihre Geräte in der Active Directory-Domäne registriert sein. So kann Duo den Zugriff auf Netzwerkressourcen und -services sicher authentifizieren und autorisieren.
- Duo hinter Plan.
Konfiguration und Anwendungsfall
Konfigurieren der Integration in Duo
Melden Sie sich beim Admin Panel
und gehe zu:
Trusted EndPoints > Add Integration
- Auswählen
Active Directory Domain Services
![DUO Add Management Tools Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-01.png)
Anschließend werden Sie umgeleitet, um die Active Directory and Device Health
.
Beachten Sie, dass dies nur mit Computern in der Domäne funktioniert.
Wechseln Sie zum Active Directory, und führen Sie den nächsten Befehl in PowerShell aus:
(Get-ADDomain | Format-Table -Property DomainSID -HideTableHeaders | Out-String).Trim() | clip
![Active Directory SID string](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-02.png)
Stellen Sie anschließend sicher, dass Sie die Sicherheits-ID Ihres Active Directory in die Zwischenablage kopiert haben.
Beispiel
S-1-5-21-2952046551-2792955545-1855548404
Dies wird bei der Integration von Active Directory und Geräteintegrität verwendet.
![DUO Active Directory SID Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-03.png)
Klicken Sie auf Save
und ermöglicht die Integration und Activate for all
. Andernfalls ist die Integration in Cisco Secure EndPoint nicht möglich.
![Integration Status Button](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-04.png)
Gehe zu Trusted EndPoints > Select Endpoint Detection & Response System > Add this integration
.
![Trusted EndPoints Active Directory With Device Health Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-05.png)
Sie befinden sich jetzt auf der Hauptseite der Integration für Cisco Secure EndPoint.
![Cisco Secure Endpoints Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-06.png)
Danach gehen Sie zum Admin Panel
des Cisco Secure EndPoint.
Konfigurieren der Integration in Cisco Secure EndPoint
Navigieren Sie zu Accounts > API Credentials
und wählen New API Credentials
.
![Cisco Secure Endpoint API Creation](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-07.png)
![API Creation - Read Only](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-08.png)
Hinweis: Nur Read-only
ist für diese Integration erforderlich, da Duo GET
fragt an Cisco Secure EndPoint ab, ob das Gerät die Anforderungen der Richtlinie erfüllt.
Einfügen Application Name
, Scope
,
und Create
.
![API Parameters - Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-09.png)
- Kopieren Sie
3rd API Party Client ID
von Cisco Secure EndPoint
zu Duo Admin Panel
in Client ID
.
- Kopieren Sie
API Key
von Cisco Secure EndPoint
zu Duo Admin Panel
in API Key
.
![DUO and Secure Endpoint API Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-10.png)
Testen Sie die Integration, und klicken Sie auf Save
um die Integration zu speichern.
Konfigurieren von Richtlinien im Duo
Um die Richtlinien für die Integration zu konfigurieren, durchlaufen Sie die Anwendung:
Navigate to Application > Search for your Application > Select your policy
![DUO App Creation](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-11.png)
Konfigurieren der Richtlinie zum Erkennen eines vertrauenswürdigen Geräts
![Policy Require Endpoint to be Trusted](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-12.png)
Testen vertrauenswürdiger Systeme
Maschine mit Duo Device Health und trat der Domäne bei
![Trusted Endpoint Status](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-13.png)
Maschine außerhalb der Domäne ohne Duo Device Health
![Unable to Communicate with Device Health](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-14.png)
![Download Device Health](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-15.png)
Computer außerhalb der Domäne mit Duo Device Health
![Machine Outside Domain not Trusted](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-16.png)
![Not Trusted Access not Allowed](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-17.png)
Konfigurieren der Richtlinie für Cisco Secure EndPoint
Konfigurieren Sie in dieser Richtlinienkonfiguration das bereits vertrauenswürdige Gerät so, dass es die Anforderungen an Bedrohungen erfüllt, die sich auf Ihre Anwendung auswirken können. Wenn also ein Gerät infiziert wird oder bestimmte Verhaltensweisen den Computer mit suspicious artifacts
Oder Indicators of Compromise
können Sie den Zugriff auf die gesicherten Anwendungen blockieren.
![Allow Cisco Secure Endpoint to Block Compromised Endpoints](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-18.png)
Testen Sie die vertrauenswürdigen Systeme mit Cisco Secure EndPoint.
Computer ohne installierten Cisco Secure Agent
In diesem Fall kann die Maschine ohne AMP-Verifizierung passieren.
![Trusted Endpoint Reporting](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-19.png)
Wenn Sie eine restriktive Richtlinie verwenden möchten, können Sie die Richtlinie so einrichten, dass sie restriktiver ist, wenn Sie die Device Health Application
Richtlinie von Reporting
zu Enforcing
.
und hinzufügen Block Access if an EndPoint Security Agent is not running
.
Computer ohne Infektion
Bei einem Computer ohne Infektion können Sie testen, wie Duo mit Cisco Secure EndPoint Informationen über den Computerstatus austauscht und wie die Ereignisse in diesem Fall in Duo und Cisco Secure EndPoint angezeigt werden.
Wenn Sie den Status Ihres Computers in Cisco Secure EndPoint überprüfen:
Navigate to Management > Computers
.
Wenn Sie nach Ihrem Computer filtern, können Sie das Ereignis sehen, und in diesem Fall können Sie feststellen, dass Ihr Computer sauber ist.
![Cisco Secure Endpoint Computer](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-21.png)
Sie können sehen, es gibt keine Erkennung für Ihr Gerät, und es ist auch auf einem Status der sauberen, was bedeutet, dass Ihr Computer nicht in der Triage zu besuchen.
![Cisco Secure Endpoint Events](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-22.png)
So kategorisiert Duo diese Maschine:
![Trusted Endpoint not in Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-23.png)
Die Maschine wartet die trusted
beschriften.
Was passiert, wenn derselbe Computer von einem Malicious Actor
wiederholte Infektionsversuche hat oder Indicators of Compromise
Warnungen über diesen Computer?
Computer mit Infektion
Um die Funktion anhand eines Beispiels von EICAR zu testen, rufen Sie https://www.eicar.org/ auf, und laden Sie eine schädliche Probe herunter.
Hinweis: Keine Sorge. Sie können diesen EICAR-Test herunterladen, er ist sicher und nur eine Testdatei.
![Eicar](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-24.png)
Blättern Sie nach unten, gehen Sie zum Abschnitt, und laden Sie die Testdatei herunter.
![Eicar File Download](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-25.png)
Cisco Secure EndPoint erkennt die Malware und verschiebt sie in die Quarantäne.
![Eicar Detection](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-26.png)
So sieht die Änderung aus, wie im Cisco Secure EndPoint Admin-Bereich gezeigt.
![Event Detection as Malware](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-27.png)
Sie haben auch die Erkennung der Malware im System, dies bedeutet jedoch, dass die Endpunkte gemäß der Einstufung von Cisco Secure EndPoint auf dem Inbox
.
Hinweis: Um einen Endpunkt zur Triage zu senden, müssen mehrere Artefakte oder merkwürdiges Verhalten erkannt werden, die einige aktivieren. Indicators of Compromise
im Endgerät.
Im Dashboard
, klicken Sie in das Inbox
.
![Cisco Secure Endpoint Inbox](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-28.png)
Jetzt haben Sie eine Maschine, die Aufmerksamkeit erfordert.
![Cisco Secure Endpoint Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-29.png)
Wechseln Sie jetzt zu Duo, und sehen Sie sich den Status an.
Es wird zuerst versucht, das Verhalten nach dem Aufsetzen des Computers auf Cisco Secure EndPoint anzuzeigen. Require Attention
.
![Not Trusted Endpoint in Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-30.png)
So ändert sich das in Duo und so wird das Ereignis unter Authentifizierungsereignissen angezeigt.
![Denied Access Endpoint in Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-31.png)
Ihr Computer wurde als nicht als Sicherheitsgerät für Ihr Unternehmen erkannt.
Zugriff auf einen Computer nach Überprüfung zulassen
![Triage Workflow](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-32.png)
Nach der Verifizierung durch Cisco Secure EndPoint und Ihren Cybersicherheitsspezialisten können Sie Ihrem Duo-Gerät den Zugriff auf diesen Computer gestatten.
Nun stellt sich die Frage, wie man den Zugriff auf die von Duo geschützte App wieder erlaubt.
Gehen Sie zu Cisco Secure EndPoint, und Inbox
, markieren Sie dieses Gerät als resolved
um den Zugriff auf die von Duo geschützte Anwendung zu ermöglichen.
![Triage Process](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-33.png)
Danach haben Sie den Rechner nicht mehr mit dem Status attention required
. Dies änderte sich zu resolved
status.
![Triage Resolved Status](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-34.png)
In wenigen Worten, jetzt sind Sie bereit, den Zugriff auf unsere von Duo geschützte Anwendung erneut zu testen.
![DUO Push Request](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-35.png)
Jetzt haben Sie die Berechtigung, den Push an Duo zu senden, und Sie sind bei der App angemeldet.
![Trusted After Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-36.png)
Triage-Workflow
![Triage Flow](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-37.png)