Cisco Duo プロトコルの構成オプション

Cisco Duo から認証イベントを受信するには、Cisco Duo プロトコルを使用するようにログ・ソースを構成します。

Cisco Duo プロトコルは、Cisco Duo Admin API から認証ログを収集し、認証イベントを IBM QRadarに送信するアクティブなアウトバウンド・プロトコルです。

重要: Cisco Duo プロトコルを使用するようにログ・ソースを構成する前に、Cisco Duo 管理ポータルから鍵を取得する必要があります。
  1. Cisco Duo 管理ポータル (https://admin.duosecurity.com/) にログインします。
  2. ダッシュボードから、 「アプリケーション」 タブに移動し、 「アプリケーションの保護」をクリックします。
  3. 管理 API アプリケーションにナビゲートし、 「保護」をクリックします。
  4. 「許可」メニューで、 「読み取りログを許可」 を選択して、Cisco が管理 API から他の認証ログを収集できるようにします。
  5. 「統合キー」「秘密鍵」、および 「API ホスト名」の値をコピーします。 これらの値は、Cisco Duo プロトコル・パラメーターを構成するときに必要になります。
重要: Cisco Duo には API 呼び出しのレート制限があるため、作成できるログ・ソースは、顧客アカウントごとに 1 つのみです。

以下の表で、Cisco Duo プロトコル用のプロトコル固有のパラメーターについて説明します。

表 1. Cisco Duo プロトコルのパラメーター
パラメーター 説明
ログ・ソース・タイプ シスコ デュオ
プロトコル構成 シスコ デュオ
ログ・ソース ID

Cisco Duo からのイベントの ID として、ログ・ソースの固有の名前を入力します。

Cisco Duo のデフォルト・ワークフローを使用している場合、 「ログ・ソース ID」 パラメーターの値は 「ホスト」 パラメーターと一致する必要があります。 Cisco Duo のデフォルト・ワークフローが変更された場合、 「ログ・ソース ID」 は、 PostEvents セクションで使用されている 「ソース」 値- source="${/host}" と一致する必要があります。 詳しくは、 Cisco Duo プロトコルのワークフローを参照してください。

host

Cisco Duo Admin API での認証に使用される Cisco Duo ポータルの API ホスト名。 Cisco Duo からこの情報を入手するには、前述の手順を確認してください。

統合キー

Cisco Duo Admin API での認証に使用される統合キー。 Cisco Duo からこの情報を入手するには、前述の手順を確認してください。

秘密鍵

Cisco Duo Admin API での認証に使用される秘密鍵。 Cisco Duo からこの情報を入手するには、前述の手順を確認してください。

プロキシーの使用 (Use Proxy) プロキシーを使用して API にアクセスする場合は、このチェック・ボックスを選択します。

「プロキシー IP またはホスト名 (Proxy IP or Hostname)」「プロキシー・ポート」「プロキシー・ユーザー名」、および「プロキシー・パスワード」の各フィールドを構成します。 プロキシーが認証を必要としない場合、「プロキシー・ユーザー名」フィールドと「プロキシー・パスワード」フィールドはブランクのままでかまいません。

繰り返し (Recurrence) ログがデータを収集する頻度を指定します。 フォーマットは、分/時/日を表す M/H/D です。 デフォルトは 5 分です。
EPS スロットル

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

デフォルトは 5000 です。

拡張オプションを有効にする

「信頼できない証明書を許可」「ワークフローのオーバーライド」「ワークフロー」、および 「ワークフロー・パラメーター」の構成オプションを有効にするには、このチェック・ボックスを選択します。

これらのパラメーターは、このチェック・ボックスを選択した場合にのみ表示されます。

信頼できないものを許可 このパラメーターを有効にすると、プロトコルは、/opt/qradar/conf/trusted_certificates/ディレクトリー内にある自己署名証明書および信頼できない証明書を受け入れることができます。 このパラメーターを無効にすると、スキャナーは、信頼できる署名者によって署名された証明書のみを信頼します。

証明書は、PEM または RED でエンコードされたバイナリー形式で、.crtファイルまたは.certファイルとして保存する必要があります。

「信頼できない証明書を許可」 パラメーターにハードコーディングされた値を含めるようにワークフローを変更すると、UI での選択内容がワークフローによってオーバーライドされます。 このパラメーターをワークフローに含めない場合は、UI での選択が使用されます。

ワークフローのオーバーライド ワークフローをカスタマイズするには、このオプションを有効にします。 このオプションを有効にすると、 「ワークフロー」 フィールドと 「ワークフロー・パラメーター」 フィールドが表示されます。
ワークフロー

プロトコル・インスタンスがターゲット API からイベントを収集する方法を定義する XML 文書。

デフォルトのワークフローについて詳しくは、 Cisco Duo プロトコルのワークフローを参照してください。

ワークフローのパラメーター

ワークフローによって直接使用されるパラメーター値が含まれている XML 文書。

デフォルトのワークフロー・パラメーターについて詳しくは、 Cisco Duo プロトコルのワークフローを参照してください。

有効 デフォルトでは、このチェック・ボックスは、ログ・ソースがQRadarと通信できるようにするために選択されています。
信頼性

ログ・ソースの「信頼性」を選択します。 範囲は 0 から 10 です。

送信元デバイスからの信頼性の評価によって判断される、イベントまたはオフェンスの完全性。 複数の送信元が同じイベントを報告する場合、信頼性は高くなります。 デフォルトは 5 です。

ターゲット・イベント・コレクター ログ・ソースのターゲットとして使用する「ターゲット・イベント・コレクター」を選択します。
イベントの統合

ログ・ソースがイベントを統合 (バンドル) できるようにするには、このチェック・ボックスを選択します。

デフォルトでは、自動的にディスカバーされたログ・ソースは、 QRadarの「システム設定」の 「イベントの統合」 リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。

イベント・ペイロードの保管

ログ・ソースがイベント・ペイロード情報を保管できるようにするには、このチェック・ボックスを選択します。

デフォルトでは、自動的に検出されたログ・ソースは、 QRadarの「システム設定」から ストア・イベント・ペイロード リストの値を継承します。 ログ・ソースを作成するか、既存の構成を編集する際に、各ログ・ソースに対してこのオプションを構成することで、デフォルト値をオーバーライドできます。