Konfigurieren von Duo und sicheren Endgeräten zur Reaktion auf Bedrohungen

Download-Optionen

  • PDF     (3.4 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (3.2 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.4 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:20. April 2023
Dokument-ID:220404

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    DUO Login Flow

    In diesem Dokument wird beschrieben, wie Sie Duo Trusted EndPoints in Cisco Secure EndPoint integrieren.

    Hintergrundinformationen

    Die Integration von Cisco Secure EndPoint und Duo ermöglicht eine effektive Zusammenarbeit bei der Reaktion auf Bedrohungen, die auf vertrauenswürdigen Netzwerkgeräten erkannt werden. Diese Integration wird durch mehrere Geräteverwaltungstools erreicht, die die Zuverlässigkeit der einzelnen Geräte gewährleisten. Zu diesen Tools gehören:

    • Active Directory Domain Services
    • Active Directory mit Gerätestatus
    • Allgemein mit Gerätezustand
    • Anpassung an den Gerätezustand
    • Jamf Pro mit Gerätestatus
    • LANDESK Management-Suite
    • Mac OS X Enterprise Asset Management-Tool
    • Manuell mit Gerätestatus
    • Windows Enterprise Asset Management-Tool
    • Workspace 1 mit Geräteintegration

    Sobald die Geräte in ein Tool für das Gerätemanagement integriert sind, können Cisco Secure EndPoint und Duo über API im Administration Panel. Anschließend muss die entsprechende Richtlinie in Duo konfiguriert werden, um die Überprüfung vertrauenswürdiger Geräte auszuführen und kompromittierte Geräte zu erkennen, die von Duo geschützte Anwendungen beeinträchtigen können.

    Hinweis: In diesem Fall arbeiten wir mit Active Directory und Device Health.

    Voraussetzungen

    • Active Directory für die Integration.
    • Um Duo mit vertrauenswürdigen Endgeräten zu integrieren, müssen Ihre Geräte in der Active Directory-Domäne registriert sein. So kann Duo den Zugriff auf Netzwerkressourcen und -services sicher authentifizieren und autorisieren.
    • Duo hinter Plan.

    Konfiguration und Anwendungsfall

    Konfigurieren der Integration in Duo

    Melden Sie sich beim Admin Panel und gehe zu:

    • Trusted EndPoints > Add Integration
    • Auswählen Active Directory Domain Services

    DUO Add Management Tools Integration

    Anschließend werden Sie umgeleitet, um die Active Directory and Device Health.

    Beachten Sie, dass dies nur mit Computern in der Domäne funktioniert.

    Wechseln Sie zum Active Directory, und führen Sie den nächsten Befehl in PowerShell aus:

    (Get-ADDomain | Format-Table -Property DomainSID -HideTableHeaders | Out-String).Trim() | clip

    Active Directory SID string

    Stellen Sie anschließend sicher, dass Sie die Sicherheits-ID Ihres Active Directory in die Zwischenablage kopiert haben.

    Beispiel 

    S-1-5-21-2952046551-2792955545-1855548404

    Dies wird bei der Integration von Active Directory und Geräteintegrität verwendet.

    DUO Active Directory SID Integration

    Klicken Sie auf  Save und ermöglicht die Integration und Activate for all.  Andernfalls ist die Integration in Cisco Secure EndPoint nicht möglich.

    Integration Status Button

    Gehe zu Trusted EndPoints > Select Endpoint Detection & Response System > Add this integration.

    Trusted EndPoints Active Directory With Device Health Integration

    Sie befinden sich jetzt auf der Hauptseite der Integration für Cisco Secure EndPoint.

    Cisco Secure Endpoints Integration

    Danach gehen Sie zum Admin Panel des Cisco Secure EndPoint.

    Konfigurieren der Integration in Cisco Secure EndPoint

    Navigieren Sie zu Accounts > API Credentials und wählen New API Credentials.

    Cisco Secure Endpoint API Creation

    API Creation - Read Only

    Hinweis: Nur Read-only ist für diese Integration erforderlich, da Duo GET fragt an Cisco Secure EndPoint ab, ob das Gerät die Anforderungen der Richtlinie erfüllt.

    Einfügen Application Name, Scope, und Create.

    API Parameters - Integration

    • Kopieren Sie 3rd API Party Client ID von Cisco Secure EndPoint zu Duo Admin Panel in Client ID.
    • Kopieren Sie API Key von Cisco Secure EndPoint zu Duo Admin Panel in API Key.

    DUO and Secure Endpoint API Integration

    Testen Sie die Integration, und klicken Sie auf Save um die Integration zu speichern.

    Konfigurieren von Richtlinien im Duo

    Um die Richtlinien für die Integration zu konfigurieren, durchlaufen Sie die Anwendung:

    Navigate to Application > Search for your Application > Select your policy

    DUO App Creation

    Konfigurieren der Richtlinie zum Erkennen eines vertrauenswürdigen Geräts

    Policy Require Endpoint to be Trusted

    Testen vertrauenswürdiger Systeme

    Maschine mit Duo Device Health und trat der Domäne bei

    Trusted Endpoint Status

    Maschine außerhalb der Domäne ohne Duo Device Health

    Unable to Communicate with Device Health

    Download Device Health

    Computer außerhalb der Domäne mit Duo Device Health

    Machine Outside Domain not Trusted

    Not Trusted Access not Allowed

    Konfigurieren der Richtlinie für Cisco Secure EndPoint

    Konfigurieren Sie in dieser Richtlinienkonfiguration das bereits vertrauenswürdige Gerät so, dass es die Anforderungen an Bedrohungen erfüllt, die sich auf Ihre Anwendung auswirken können. Wenn also ein Gerät infiziert wird oder bestimmte Verhaltensweisen den Computer mit suspicious artifacts Oder Indicators of Compromisekönnen Sie den Zugriff auf die gesicherten Anwendungen blockieren.

    Allow Cisco Secure Endpoint to Block Compromised Endpoints

    Testen Sie die vertrauenswürdigen Systeme mit Cisco Secure EndPoint.

    Computer ohne installierten Cisco Secure Agent

    In diesem Fall kann die Maschine ohne AMP-Verifizierung passieren.

    Trusted Endpoint Reporting

    Wenn Sie eine restriktive Richtlinie verwenden möchten, können Sie die Richtlinie so einrichten, dass sie restriktiver ist, wenn Sie die Device Health Application Richtlinie von Reporting zu Enforcing.

    und hinzufügen Block Access if an EndPoint Security Agent is not running.

    Trusted Endpoint Enforcing Cisco Secure EndpointComputer ohne Infektion

    Bei einem Computer ohne Infektion können Sie testen, wie Duo mit Cisco Secure EndPoint Informationen über den Computerstatus austauscht und wie die Ereignisse in diesem Fall in Duo und Cisco Secure EndPoint angezeigt werden.

    Wenn Sie den Status Ihres Computers in Cisco Secure EndPoint überprüfen:

    Navigate to Management > Computers.

    Wenn Sie nach Ihrem Computer filtern, können Sie das Ereignis sehen, und in diesem Fall können Sie feststellen, dass Ihr Computer sauber ist.

    Cisco Secure Endpoint Computer

    Sie können sehen, es gibt keine Erkennung für Ihr Gerät, und es ist auch auf einem Status der sauberen, was bedeutet, dass Ihr Computer nicht in der Triage zu besuchen.

    Cisco Secure Endpoint Events

    So kategorisiert Duo diese Maschine:

    Trusted Endpoint not in Triage

    Die Maschine wartet die trusted beschriften.

    Was passiert, wenn derselbe Computer von einem Malicious Actorwiederholte Infektionsversuche hat oder Indicators of Compromise Warnungen über diesen Computer?

    Computer mit Infektion

    Um die Funktion anhand eines Beispiels von EICAR zu testen, rufen Sie https://www.eicar.org/ auf, und laden Sie eine schädliche Probe herunter.

    Hinweis: Keine Sorge. Sie können diesen EICAR-Test herunterladen, er ist sicher und nur eine Testdatei.

    Eicar

    Blättern Sie nach unten, gehen Sie zum Abschnitt, und laden Sie die Testdatei herunter.

    Eicar File Download

    Cisco Secure EndPoint erkennt die Malware und verschiebt sie in die Quarantäne.

    Eicar Detection

    So sieht die Änderung aus, wie im Cisco Secure EndPoint Admin-Bereich gezeigt.

    Event Detection as Malware

    Sie haben auch die Erkennung der Malware im System, dies bedeutet jedoch, dass die Endpunkte gemäß der Einstufung von Cisco Secure EndPoint auf dem Inbox.

    Hinweis: Um einen Endpunkt zur Triage zu senden, müssen mehrere Artefakte oder merkwürdiges Verhalten erkannt werden, die einige aktivieren. Indicators of Compromise im Endgerät.

    Im Dashboard, klicken Sie in das Inbox.

    Cisco Secure Endpoint Inbox

    Jetzt haben Sie eine Maschine, die Aufmerksamkeit erfordert.

    Cisco Secure Endpoint Triage

    Wechseln Sie jetzt zu Duo, und sehen Sie sich den Status an.

    Es wird zuerst versucht, das Verhalten nach dem Aufsetzen des Computers auf Cisco Secure EndPoint anzuzeigen. Require Attention.

    Not Trusted Endpoint in Triage

    So ändert sich das in Duo und so wird das Ereignis unter Authentifizierungsereignissen angezeigt.

    Denied Access Endpoint in Triage

    Ihr Computer wurde als nicht als Sicherheitsgerät für Ihr Unternehmen erkannt.

    Zugriff auf einen Computer nach Überprüfung zulassen

    Triage Workflow

    Nach der Verifizierung durch Cisco Secure EndPoint und Ihren Cybersicherheitsspezialisten können Sie Ihrem Duo-Gerät den Zugriff auf diesen Computer gestatten.

    Nun stellt sich die Frage, wie man den Zugriff auf die von Duo geschützte App wieder erlaubt.

    Gehen Sie zu Cisco Secure EndPoint, und Inbox, markieren Sie dieses Gerät als resolved um den Zugriff auf die von Duo geschützte Anwendung zu ermöglichen.

    Triage Process

    Danach haben Sie den Rechner nicht mehr mit dem Status attention required. Dies änderte sich zu resolved status.

    Triage Resolved Status

    In wenigen Worten, jetzt sind Sie bereit, den Zugriff auf unsere von Duo geschützte Anwendung erneut zu testen.

    DUO Push Request

    Jetzt haben Sie die Berechtigung, den Push an Duo zu senden, und Sie sind bei der App angemeldet.

    Trusted After Triage

    Triage-Workflow

    Triage Flow

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    20-Apr-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Jairo Andres Moreno Ciro
      TAC
    • Jean Orozco Navarro
      TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.