脅威に対応するためのDuoおよびセキュアエンドポイントの設定

ダウンロード オプション

  • PDF     (3.5 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (3.2 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.3 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 4 月 20 日
Document ID:220404

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    DUO Login Flow

    このドキュメントでは、Duo Trusted EndPoint(CTI)とCisco Secure EndPointを統合する方法について説明します。

    背景説明

    Cisco Secure EndPointとDuoの統合により、信頼できるネットワークデバイス上で検出された脅威に対する効果的なコラボレーションが可能になります。この統合は、各デバイスの信頼性を確立する複数のデバイス管理ツールによって実現されます。これらのツールの一部は次のとおりです。

    • Active Directoryドメインサービス
    • Active Directoryとデバイスヘルス
    • デバイスヘルスを含む汎用
    • Intuneとデバイスのヘルス
    • Jamf Proとデバイスヘルス
    • LANDESK管理スイート
    • Mac OS Xエンタープライズ資産管理ツール
    • デバイスの状態を手動で確認
    • Windows Enterprise Asset Managementツール
    • デバイスヘルス機能を備えたWorkspace ONE

    デバイスをデバイス管理ツールと統合すると、次の方法でCisco Secure EndPointとDuoを統合できます APIAdministration Panelを参照。その後、Duoで適切なポリシーを設定して、信頼できるデバイスの検証を実行し、Duoで保護されたアプリケーションに影響を与える可能性がある侵害されたデバイスを検出する必要があります。

    :この場合、Active Directoryとデバイスの状態を使用します。

    前提条件

    • 統合を行うためのActive Directory。
    • DuoとTrusted Endpointsを統合するには、デバイスをActive Directoryドメインに登録する必要があります。これにより、Duoはネットワークリソースとサービスへのアクセスを安全に認証および許可できます。
    • Duo Beyond Planの略。

    設定と使用例

    Duoでの統合の設定

    にログインします Admin Panel 次のリンクに移動します。

    • Trusted EndPoints > Add Integration
    • 選択 Active Directory Domain Services

    DUO Add Management Tools Integration

    その後で、 Active Directory and Device Healthを参照。

    これはドメイン内のマシンでのみ機能することを考慮してください。

    Active Directoryに移動し、PowerShellで次のコマンドを実行します。

    (Get-ADDomain | Format-Table -Property DomainSID -HideTableHeaders | Out-String).Trim() | clip

    Active Directory SID string

    その後、Active DirectoryのセキュリティIDをクリップボードにコピーしたことを確認します。

    例 

    S-1-5-21-2952046551-2792955545-1855548404

    これは、Active Directoryとデバイスの正常性の統合で使用されます。

    DUO Active Directory SID Integration

    クリック Save 統合を実現し – Activate for allを参照。  そうしないと、Cisco Secure EndPointと統合できません。

    Integration Status Button

    次に Trusted EndPoints > Select Endpoint Detection & Response System > Add this integrationを参照。

    Trusted EndPoints Active Directory With Device Health Integration

    これで、Cisco Secure EndPointの統合のメインページが表示されます。

    Cisco Secure Endpoints Integration

    その後、 Admin Panel Cisco Secure EndPoint

    Cisco Secure EndPointでの統合の設定

    次のページに移動します。 Accounts > API Credentials および選択 New API Credentialsを参照。

    Cisco Secure Endpoint API Creation

    API Creation - Read Only

    :のみ Read-only この統合を実現するにはDuoが必要です GET デバイスがポリシーの要件を満たしているかどうかを確認するためにCisco Secure EndPointに照会します。

    挿入 Application NameScope,Createを参照。

    API Parameters - Integration

    • をコピーする 3rd API Party Client ID 変更前 Cisco Secure EndPoint Duoに変換 Admin Panel イン Client IDを参照。
    • をコピーする API Key 変更前 Cisco Secure EndPoint Duoに変換 Admin Panel イン API Keyを参照。

    DUO and Secure Endpoint API Integration

    統合をテストし、すべてが正常に動作したら、 Save 統合を保存します。

    Duoでのポリシーの設定

    統合のポリシーを設定するには、アプリケーションを使用して次の手順を実行します。

    Navigate to Application > Search for your Application > Select your policy

    DUO App Creation

    信頼できるデバイスを検出するためのポリシーの設定

    Policy Require Endpoint to be Trusted

    信頼できるマシンのテスト

    Duo Device Healthを持つマシンがドメインに参加しました

    Trusted Endpoint Status

    Duo Device Healthのないドメイン外のマシン

    Unable to Communicate with Device Health

    Download Device Health

    Duo Device Healthによるドメイン外のマシン

    Machine Outside Domain not Trusted

    Not Trusted Access not Allowed

    Cisco Secure EndPointのポリシーの設定

    このポリシー設定では、アプリケーションに影響を与える可能性がある脅威に関する要件を満たすように、既に信頼されているデバイスを構成します。これにより、デバイスが感染した場合や、一部の動作がそのマシンをマークした場合に対応できます suspicious artifacts または Indicators of Compromise保護されたアプリケーションへのマシンのアクセスをブロックできます。

    Allow Cisco Secure Endpoint to Block Compromised Endpoints

    Cisco Secure EndPointを使用した信頼できるマシンのテスト

    Cisco Secure Agentがインストールされていないマシン

    この場合、マシンはAMP検証なしで通過できます。

    Trusted Endpoint Reporting

    制限ポリシーを使用する場合は、ポリシーを変更してポリシーをより制限するように設定できます。 Device Health Application からのポリシー Reporting から Enforcingを参照。

    さらに – Block Access if an EndPoint Security Agent is not runningを参照。

    Trusted Endpoint Enforcing Cisco Secure Endpoint感染のないコンピュータ

    マシンに感染がない状態で、Duo with Cisco Secure EndPointがマシンの状態に関する情報を交換する方法や、イベントがDuoおよびCisco Secure EndPointの場合にどのように表示されるかをテストできます。

    Cisco Secure EndPointでマシンのステータスを確認する場合:

    Navigate to Management > Computers.

    マシンをフィルタリングすると、そのイベントを確認できます。この場合、マシンがクリーンであることを確認できます。

    Cisco Secure Endpoint Computer

    デバイスが検出されず、クリーンのステータスになっていることが分かります。これは、マシンが参加できる状態ではないことを意味します。

    Cisco Secure Endpoint Events

    Duoは次のようにマシンを分類します。

    Trusted Endpoint not in Triage

    このマシンは、 trusted ラベル.

    同じマシンが Malicious Actor、繰り返し感染を試みている、または Indicators of Compromise このマシンに関する警告を表示しますか?

    感染したコンピュータ

    EICARの例を使用して機能をテストするには、https://www.eicar.org/にアクセスし、悪意のあるサンプルをダウンロードします。

    :心配しないでください。EICARテストをダウンロードできます。これは安全で、テストファイルだけです。

    Eicar

    下にスクロールしてセクションに移動し、テストファイルをダウンロードします。

    Eicar File Download

    Cisco Secure EndPointがマルウェアを検出し、検疫に移動します。

    Eicar Detection

    これが、Cisco Secure EndPoint Adminパネルに表示される変更方法です。

    Event Detection as Malware

    マシン内のマルウェアも検出されますが、これはエンドポイントがCisco Secure EndPointのトリアージで分析されると見なされることを意味します。 Inboxを参照。

    :エンドポイントをトリアージに送信するには、複数のアーティファクトの検出または一部の動作をアクティブ化する異常な動作が必要です Indicators of Compromise 確認します。

    の下 Dashboardをクリックし、 Inboxを参照。

    Cisco Secure Endpoint Inbox

    今、あなたは注意を必要とするマシンを持っています。

    Cisco Secure Endpoint Triage

    次に、Duoに切り替えて、ステータスを確認します。

    マシンがCisco Secure EndPointの下に配置された後、最初に認証が試行されて動作が確認されます Require Attentionを参照。

    Not Trusted Endpoint in Triage

    これは、Duoでの変更と、認証イベントでのイベントの表示方法です。

    Denied Access Endpoint in Triage

    お使いのコンピューターは、組織の安全装置として検出されませんでした。

    レビュー後にマシンへのアクセスを許可する

    Triage Workflow

    Cisco Secure EndPointで検証を行い、Cybersecurity Specialistの認定を受けた後、Duoでこのマシンからアプリへのアクセスを許可できます。

    ここで問題は、Duoによって保護されたアプリへのアクセスを再び許可する方法です。

    Cisco Secure EndPointにアクセスし、 Inbox、このデバイスを次のようにマーク resolved Duoで保護されたアプリケーションへのアクセスを許可します。

    Triage Process

    その後、ステータスのマシンはありません attention requiredを参照。これは次のように変化しました resolved ステータス.

    Triage Resolved Status

    一言で言えば、今、あなたはDuoによって保護された私たちのアプリケーションへのアクセスを再びテストする準備ができています。

    DUO Push Request

    これで、Duoにプッシュを送信する権限が与えられ、アプリにログインしました。

    Trusted After Triage

    トリアージワークフロー

    Triage Flow

    更新履歴

    改定 発行日 コメント
    1.0
    20-Apr-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • ジャイロアンドレスモレノシロ
      TAC
    • ジャン・オロスコ・ナヴァロ
      TAC

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています