はじめに
![DUO Login Flow](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-00.png)
このドキュメントでは、Duo Trusted EndPoint(CTI)とCisco Secure EndPointを統合する方法について説明します。
背景説明
Cisco Secure EndPointとDuoの統合により、信頼できるネットワークデバイス上で検出された脅威に対する効果的なコラボレーションが可能になります。この統合は、各デバイスの信頼性を確立する複数のデバイス管理ツールによって実現されます。これらのツールの一部は次のとおりです。
- Active Directoryドメインサービス
- Active Directoryとデバイスヘルス
- デバイスヘルスを含む汎用
- Intuneとデバイスのヘルス
- Jamf Proとデバイスヘルス
- LANDESK管理スイート
- Mac OS Xエンタープライズ資産管理ツール
- デバイスの状態を手動で確認
- Windows Enterprise Asset Managementツール
- デバイスヘルス機能を備えたWorkspace ONE
デバイスをデバイス管理ツールと統合すると、次の方法でCisco Secure EndPointとDuoを統合できます API
の Administration Panel
を参照。その後、Duoで適切なポリシーを設定して、信頼できるデバイスの検証を実行し、Duoで保護されたアプリケーションに影響を与える可能性がある侵害されたデバイスを検出する必要があります。
注:この場合、Active Directoryとデバイスの状態を使用します。
前提条件
- 統合を行うためのActive Directory。
- DuoとTrusted Endpointsを統合するには、デバイスをActive Directoryドメインに登録する必要があります。これにより、Duoはネットワークリソースとサービスへのアクセスを安全に認証および許可できます。
- Duo Beyond Planの略。
設定と使用例
Duoでの統合の設定
にログインします Admin Panel
次のリンクに移動します。
Trusted EndPoints > Add Integration
- 選択
Active Directory Domain Services
![DUO Add Management Tools Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-01.png)
その後で、 Active Directory and Device Health
を参照。
これはドメイン内のマシンでのみ機能することを考慮してください。
Active Directoryに移動し、PowerShellで次のコマンドを実行します。
(Get-ADDomain | Format-Table -Property DomainSID -HideTableHeaders | Out-String).Trim() | clip
![Active Directory SID string](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-02.png)
その後、Active DirectoryのセキュリティIDをクリップボードにコピーしたことを確認します。
例
S-1-5-21-2952046551-2792955545-1855548404
これは、Active Directoryとデバイスの正常性の統合で使用されます。
![DUO Active Directory SID Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-03.png)
クリック Save
統合を実現し – Activate for all
を参照。 そうしないと、Cisco Secure EndPointと統合できません。
![Integration Status Button](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-04.png)
次に Trusted EndPoints > Select Endpoint Detection & Response System > Add this integration
を参照。
![Trusted EndPoints Active Directory With Device Health Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-05.png)
これで、Cisco Secure EndPointの統合のメインページが表示されます。
![Cisco Secure Endpoints Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-06.png)
その後、 Admin Panel
Cisco Secure EndPoint
Cisco Secure EndPointでの統合の設定
次のページに移動します。 Accounts > API Credentials
および選択 New API Credentials
を参照。
![Cisco Secure Endpoint API Creation](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-07.png)
![API Creation - Read Only](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-08.png)
注:のみ Read-only
この統合を実現するにはDuoが必要です GET
デバイスがポリシーの要件を満たしているかどうかを確認するためにCisco Secure EndPointに照会します。
挿入 Application Name
、 Scope
,
と Create
を参照。
![API Parameters - Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-09.png)
- をコピーする
3rd API Party Client ID
変更前 Cisco Secure EndPoint
Duoに変換 Admin Panel
イン Client ID
を参照。
- をコピーする
API Key
変更前 Cisco Secure EndPoint
Duoに変換 Admin Panel
イン API Key
を参照。
![DUO and Secure Endpoint API Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-10.png)
統合をテストし、すべてが正常に動作したら、 Save
統合を保存します。
Duoでのポリシーの設定
統合のポリシーを設定するには、アプリケーションを使用して次の手順を実行します。
Navigate to Application > Search for your Application > Select your policy
![DUO App Creation](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-11.png)
信頼できるデバイスを検出するためのポリシーの設定
![Policy Require Endpoint to be Trusted](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-12.png)
信頼できるマシンのテスト
Duo Device Healthを持つマシンがドメインに参加しました
![Trusted Endpoint Status](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-13.png)
Duo Device Healthのないドメイン外のマシン
![Unable to Communicate with Device Health](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-14.png)
![Download Device Health](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-15.png)
Duo Device Healthによるドメイン外のマシン
![Machine Outside Domain not Trusted](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-16.png)
![Not Trusted Access not Allowed](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-17.png)
Cisco Secure EndPointのポリシーの設定
このポリシー設定では、アプリケーションに影響を与える可能性がある脅威に関する要件を満たすように、既に信頼されているデバイスを構成します。これにより、デバイスが感染した場合や、一部の動作がそのマシンをマークした場合に対応できます suspicious artifacts
または Indicators of Compromise
保護されたアプリケーションへのマシンのアクセスをブロックできます。
![Allow Cisco Secure Endpoint to Block Compromised Endpoints](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-18.png)
Cisco Secure EndPointを使用した信頼できるマシンのテスト
Cisco Secure Agentがインストールされていないマシン
この場合、マシンはAMP検証なしで通過できます。
![Trusted Endpoint Reporting](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-19.png)
制限ポリシーを使用する場合は、ポリシーを変更してポリシーをより制限するように設定できます。 Device Health Application
からのポリシー Reporting
から Enforcing
を参照。
さらに – Block Access if an EndPoint Security Agent is not running
を参照。
感染のないコンピュータ
マシンに感染がない状態で、Duo with Cisco Secure EndPointがマシンの状態に関する情報を交換する方法や、イベントがDuoおよびCisco Secure EndPointの場合にどのように表示されるかをテストできます。
Cisco Secure EndPointでマシンのステータスを確認する場合:
Navigate to Management > Computers
.
マシンをフィルタリングすると、そのイベントを確認できます。この場合、マシンがクリーンであることを確認できます。
![Cisco Secure Endpoint Computer](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-21.png)
デバイスが検出されず、クリーンのステータスになっていることが分かります。これは、マシンが参加できる状態ではないことを意味します。
![Cisco Secure Endpoint Events](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-22.png)
Duoは次のようにマシンを分類します。
![Trusted Endpoint not in Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-23.png)
このマシンは、 trusted
ラベル.
同じマシンが Malicious Actor
、繰り返し感染を試みている、または Indicators of Compromise
このマシンに関する警告を表示しますか?
感染したコンピュータ
EICARの例を使用して機能をテストするには、https://www.eicar.org/にアクセスし、悪意のあるサンプルをダウンロードします。
注:心配しないでください。EICARテストをダウンロードできます。これは安全で、テストファイルだけです。
![Eicar](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-24.png)
下にスクロールしてセクションに移動し、テストファイルをダウンロードします。
![Eicar File Download](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-25.png)
Cisco Secure EndPointがマルウェアを検出し、検疫に移動します。
![Eicar Detection](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-26.png)
これが、Cisco Secure EndPoint Adminパネルに表示される変更方法です。
![Event Detection as Malware](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-27.png)
マシン内のマルウェアも検出されますが、これはエンドポイントがCisco Secure EndPointのトリアージで分析されると見なされることを意味します。 Inbox
を参照。
注:エンドポイントをトリアージに送信するには、複数のアーティファクトの検出または一部の動作をアクティブ化する異常な動作が必要です Indicators of Compromise
確認します。
の下 Dashboard
をクリックし、 Inbox
を参照。
![Cisco Secure Endpoint Inbox](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-28.png)
今、あなたは注意を必要とするマシンを持っています。
![Cisco Secure Endpoint Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-29.png)
次に、Duoに切り替えて、ステータスを確認します。
マシンがCisco Secure EndPointの下に配置された後、最初に認証が試行されて動作が確認されます Require Attention
を参照。
![Not Trusted Endpoint in Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-30.png)
これは、Duoでの変更と、認証イベントでのイベントの表示方法です。
![Denied Access Endpoint in Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-31.png)
お使いのコンピューターは、組織の安全装置として検出されませんでした。
レビュー後にマシンへのアクセスを許可する
![Triage Workflow](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-32.png)
Cisco Secure EndPointで検証を行い、Cybersecurity Specialistの認定を受けた後、Duoでこのマシンからアプリへのアクセスを許可できます。
ここで問題は、Duoによって保護されたアプリへのアクセスを再び許可する方法です。
Cisco Secure EndPointにアクセスし、 Inbox
、このデバイスを次のようにマーク resolved
Duoで保護されたアプリケーションへのアクセスを許可します。
![Triage Process](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-33.png)
その後、ステータスのマシンはありません attention required
を参照。これは次のように変化しました resolved
ステータス.
![Triage Resolved Status](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-34.png)
一言で言えば、今、あなたはDuoによって保護された私たちのアプリケーションへのアクセスを再びテストする準備ができています。
![DUO Push Request](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-35.png)
これで、Duoにプッシュを送信する権限が与えられ、アプリにログインしました。
![Trusted After Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-36.png)
トリアージワークフロー
![Triage Flow](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-37.png)