소개
![DUO Login Flow](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-00.png)
이 문서에서는 Duo Trusted EndPoint를 Cisco Secure EndPoint와 통합하는 방법에 대해 설명합니다.
배경 정보
Cisco Secure EndPoint와 Duo의 통합으로 신뢰할 수 있는 네트워크 장치에서 탐지된 위협에 효과적으로 대응할 수 있습니다. 이러한 통합은 각 장치의 신뢰성을 확립하는 여러 장치 관리 툴을 통해 이루어집니다. 이러한 툴에는 다음이 포함됩니다.
- Active Directory 도메인 서비스
- 디바이스 상태가 있는 Active Directory
- 장치 상태가 있는 일반
- 장치 상태가 있는 Intune
- Jamf Pro with Device Health
- LANDESK Management Suite
- Mac OS X Enterprise Asset Management 툴
- 디바이스 상태를 포함한 수동
- Windows 엔터프라이즈 자산 관리 도구
- Workspace ONE(디바이스 상태 포함)
디바이스가 디바이스 관리 툴과 통합되면 다음을 통해 Cisco Secure EndPoint 및 Duo를 통합할 수 있습니다. API
의 Administration Panel
. 그런 다음 신뢰할 수 있는 장치 확인을 실행하고 Duo가 보호하는 애플리케이션에 영향을 줄 수 있는 손상된 장치를 탐지하려면 Duo에서 적절한 정책을 구성해야 합니다.
참고: 이 경우 Active Directory 및 Device Health를 사용합니다.
사전 요구 사항
- Active Directory를 사용하여 통합합니다.
- Duo를 신뢰할 수 있는 엔드포인트와 통합하려면 디바이스가 Active Directory 도메인에 등록되어 있어야 합니다. 이를 통해 Duo는 네트워크 리소스 및 서비스에 대한 액세스를 안전하게 인증하고 권한을 부여할 수 있습니다.
- Duo Beyond Plan.
구성 및 활용 사례
Duo에서 통합 구성
에 로그인합니다 Admin Panel
다음 사이트로 이동합니다.
Trusted EndPoints > Add Integration
- 선택
Active Directory Domain Services
![DUO Add Management Tools Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-01.png)
그런 다음 리디렉션하여 Active Directory and Device Health
.
도메인의 시스템에서만 작동한다는 점을 고려하십시오.
Active Directory로 이동하여 PowerShell에서 다음 명령을 실행합니다.
(Get-ADDomain | Format-Table -Property DomainSID -HideTableHeaders | Out-String).Trim() | clip
![Active Directory SID string](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-02.png)
그런 다음 Active Directory의 보안 식별자를 클립보드에 복사해야 합니다.
예
S-1-5-21-2952046551-2792955545-1855548404
이는 Active Directory 및 디바이스 상태 통합에서 사용됩니다.
![DUO Active Directory SID Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-03.png)
클릭 Save
통합 및 Activate for all
. 그렇지 않으면 Cisco Secure EndPoint와 통합할 수 없습니다.
![Integration Status Button](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-04.png)
이동 Trusted EndPoints > Select Endpoint Detection & Response System > Add this integration
.
![Trusted EndPoints Active Directory With Device Health Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-05.png)
이제 Cisco Secure EndPoint의 통합 메인 페이지에 나와 있습니다.
![Cisco Secure Endpoints Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-06.png)
그런 다음 Admin Panel
Cisco Secure EndPoint를 소개하십시오.
Cisco Secure EndPoint에서 통합 구성
다음 사이트로 이동합니다. Accounts > API Credentials
및 선택 New API Credentials
.
![Cisco Secure Endpoint API Creation](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-07.png)
![API Creation - Read Only](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-08.png)
참고: Read-only
Duo는 Cisco와 Cisco의 GET
장치가 정책의 요구 사항을 충족하는지 Cisco Secure EndPoint에 쿼리합니다.
삽입 Application Name
, Scope
,
및 Create
.
![API Parameters - Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-09.png)
- 복사
3rd API Party Client ID
발신 Cisco Secure EndPoint
듀오에 Admin Panel
에서 Client ID
.
- 복사
API Key
발신 Cisco Secure EndPoint
듀오에 Admin Panel
에서 API Key
.
![DUO and Secure Endpoint API Integration](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-10.png)
통합을 테스트하고 모든 것이 제대로 작동하면 Save
통합을 절약할 수 있습니다
듀오에서 정책 구성
통합에 대한 정책을 구성하려면 애플리케이션을 통해 다음을 수행합니다.
Navigate to Application > Search for your Application > Select your policy
![DUO App Creation](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-11.png)
신뢰할 수 있는 디바이스를 탐지하도록 정책 구성
![Policy Require Endpoint to be Trusted](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-12.png)
신뢰할 수 있는 컴퓨터 테스트
Duo Device Health가 있고 도메인에 가입된 시스템
![Trusted Endpoint Status](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-13.png)
Duo Device Health가 없는 도메인 외부 시스템
![Unable to Communicate with Device Health](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-14.png)
![Download Device Health](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-15.png)
Duo Device Health로 도메인 외부 시스템
![Machine Outside Domain not Trusted](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-16.png)
![Not Trusted Access not Allowed](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-17.png)
Cisco Secure EndPoint용 정책 구성
이 정책 설정에서는 이미 신뢰할 수 있는 디바이스를 구성하여 애플리케이션에 영향을 줄 수 있는 위협에 대한 요구 사항을 충족합니다. 즉, 디바이스가 감염되거나 일부 동작이 해당 시스템으로 표시되는 경우 suspicious artifacts
또는 Indicators of Compromise
에서는 보안 애플리케이션에 대한 머신 액세스를 차단할 수 있습니다.
![Allow Cisco Secure Endpoint to Block Compromised Endpoints](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-18.png)
Cisco Secure EndPoint로 신뢰할 수 있는 시스템 테스트
Cisco Secure Agent가 설치되지 않은 시스템
이 경우 AMP 확인 없이 통과할 수 있습니다.
![Trusted Endpoint Reporting](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-19.png)
제한적 정책을 사용하려면 를 수정하면 정책을 더 제한적으로 설정할 수 있습니다. Device Health Application
정책 출처 Reporting
수신 Enforcing
.
및 추가 Block Access if an EndPoint Security Agent is not running
.
감염 없는 컴퓨터
감염 없이 머신을 사용하면 Duo와 Cisco Secure EndPoint가 머신 상태에 대한 정보를 교환하는 방법 및 이 사례에서 Duo와 Cisco Secure EndPoint의 이벤트가 어떻게 표시되는지 테스트할 수 있습니다.
Cisco Secure EndPoint에서 시스템의 상태를 확인하는 경우:
Navigate to Management > Computers
.
시스템에 대해 필터링하면 해당 이벤트를 볼 수 있으며, 이 경우 시스템이 정상인지 확인할 수 있습니다.
![Cisco Secure Endpoint Computer](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-21.png)
디바이스에 대한 탐지가 없고 정상 상태이므로 시스템이 참석할 수 없습니다.
![Cisco Secure Endpoint Events](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-22.png)
이것이 Duo가 해당 시스템을 분류하는 방법입니다.
![Trusted Endpoint not in Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-23.png)
이 기계는 trusted
레이블입니다.
동일한 머신이 Malicious Actor
, 반복적인 감염 시도 또는 Indicators of Compromise
이 시스템에 대한 경고문
감염된 컴퓨터
EICAR의 예를 사용하여 기능을 테스트하려면 https://www.eicar.org/에 액세스하고 악성 샘플을 다운로드합니다.
참고: 걱정하지 마십시오. EICAR 테스트를 다운로드할 수 있으며, 안전하며 테스트 파일일 뿐입니다.
![Eicar](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-24.png)
아래로 스크롤하여 섹션으로 이동하고 테스트 파일을 다운로드합니다.
![Eicar File Download](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-25.png)
Cisco Secure EndPoint는 악성코드를 탐지하여 격리로 이동합니다.
![Eicar Detection](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-26.png)
이것이 Cisco Secure EndPoint Admin(Cisco Secure EndPoint 관리) 패널에 표시된 대로 변경되는 방법입니다.
![Event Detection as Malware](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-27.png)
또한 시스템에서 악성코드를 탐지했지만, 이는 엔드포인트가 Cisco Secure EndPoint의 분류에 따라 분석된 것으로 간주된다는 것을 의미합니다. Inbox
.
참고: 분류하기 위해 엔드포인트를 전송하려면 아티팩트를 여러 번 탐지하거나 일부를 활성화하는 이상한 동작이 있어야 합니다 Indicators of Compromise
엔드포인트에서 실행됩니다.
아래 Dashboard
, 를 클릭합니다. Inbox
.
![Cisco Secure Endpoint Inbox](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-28.png)
이제 주의해야 할 기계가 생겼네요.
![Cisco Secure Endpoint Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-29.png)
이제 듀오로 전환하여 상태를 확인합니다.
아래 Cisco Secure EndPoint에 시스템을 설치한 후 동작을 확인하기 위해 먼저 인증을 시도합니다. Require Attention
.
![Not Trusted Endpoint in Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-30.png)
이는 Duo에서 어떻게 변경되고 인증 이벤트 아래의 이벤트가 어떻게 표시되는지 보여줍니다.
![Denied Access Endpoint in Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-31.png)
컴퓨터가 조직의 안전 장치가 아닌 것으로 검색되었습니다.
검토 후 시스템에 대한 액세스 허용
![Triage Workflow](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-32.png)
Cisco Secure EndPoint와 사이버 보안 전문가의 검증을 거친 후 Duo에서 이 머신에 대한 앱의 액세스를 허용할 수 있습니다.
이제 문제는 Duo가 보호하는 앱에 대한 액세스를 다시 허용하는 방법입니다.
Cisco Secure EndPoint로 이동하여 Inbox
, 이 디바이스를 다음으로 표시 resolved
Duo가 보호하는 애플리케이션에 대한 액세스를 허용합니다.
![Triage Process](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-33.png)
그 이후에는 상태가 지정된 시스템이 없습니다. attention required
. 다음으로 변경됨: resolved
상태.
![Triage Resolved Status](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-34.png)
간단히 말해, 이제 Duo가 보호하는 Cisco 애플리케이션에 대한 액세스를 다시 테스트할 준비가 되었습니다.
![DUO Push Request](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-35.png)
이제 Duo에게 푸시를 보낼 수 있는 권한이 있으며, 앱에 로그인했습니다.
![Trusted After Triage](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-36.png)
분류 워크플로
![Triage Flow](/c/dam/en/us/support/docs/security/duo/220404-configure-duo-and-secure-endpoint-to-res-37.png)