Cisco Duo 프로토콜 구성 옵션

Cisco Duo에서 인증 이벤트를 수신하려면 Cisco Duo 프로토콜을 사용하도록 로그 소스를 구성하십시오.

Cisco Duo 프로토콜은 Cisco Duo Admin API에서 인증 로그를 수집하고 인증 이벤트를 IBM QRadar에 전송하는 활성 아웃바운드 프로토콜입니다.

중요: Cisco Duo 프로토콜을 사용하도록 로그 소스를 구성하기 전에 Cisco Duo 관리 포털에서 키를 확보해야 합니다.
  1. Cisco Duo 관리 포털 (https://admin.duosecurity.com/) 에 로그인하십시오.
  2. 대시보드에서 애플리케이션 탭으로 이동한 후 애플리케이션 보호를 클릭하십시오.
  3. 관리 API 애플리케이션으로 이동한 후 보호를 클릭하십시오.
  4. 권한 메뉴에서 로그 읽기 권한 부여 를 선택하여 Cisco가 관리 API에서 다른 인증 로그를 수집할 수 있도록 하십시오.
  5. 통합 키, 비밀 키API 호스트 이름의 값을 복사하십시오. Cisco Duo 프로토콜 매개변수를 구성할 때 이 값이 필요합니다.
중요: Cisco Duo에는 API 호출에 대한 비율 한계가 있으므로 고객 계정당 하나의 로그 소스만 작성할 수 있습니다.

다음 표에서는 Cisco Duo 프로토콜의 프로토콜 특정 매개변수를 설명합니다.

표 1. Cisco Duo 프로토콜 매개변수
매개변수 설명
로그 소스 유형 Cisco 듀오
프로토콜 구성 Cisco 듀오
로그 소스 ID

Cisco Duo의 이벤트에 대한 ID로 로그 소스의 고유 이름을 입력하십시오.

Cisco Duo 기본 워크플로우를 사용하는 경우 로그 소스 ID 매개변수의 값은 Host 매개변수와 일치해야 합니다. Cisco Duo 기본 워크플로우가 수정되면 로그 소스 IDPostEvents 섹션에서 사용되는 소스 값 ( source="${/host}" ) 과 일치해야 합니다. 자세한 정보는 Cisco Duo 프로토콜 워크플로우를 참조하십시오.
호스트

Cisco Duo Admin API로 인증하는 데 사용되는 Cisco Duo 포털의 API 호스트 이름입니다. Cisco Duo로부터 이 정보를 얻기 위한 이전 프로시저를 검토하십시오.
통합 키

Cisco Duo Admin API로 인증하는 데 사용되는 통합 키입니다. Cisco Duo로부터 이 정보를 얻기 위한 이전 프로시저를 검토하십시오.
시크릿 키

Cisco Duo Admin API로 인증하는 데 사용되는 비밀 키입니다. Cisco Duo로부터 이 정보를 얻기 위한 이전 프로시저를 검토하십시오.
프록시 사용 프록시를 사용하여 API에 액세스하는 경우 이 선택란을 선택하십시오.

프록시 IP 또는 호스트 이름, 프록시 포트, 프록시 사용자 이름프록시 비밀번호 필드를 구성하십시오. 프록시에 인증이 필요하지 않은 경우 프록시 사용자 이름프록시 비밀번호 필드를 공백으로 둘 수 있습니다.
반복 로그가 데이터를 수집하는 빈도를 지정하십시오. 형식은 M/H/D(분/시간/일)입니다. 기본값은 5분입니다.
EPS 제한

QRadar 가 수집하는 초당 최대 이벤트 수입니다.

데이터 소스가 EPS 제한을 초과하면 데이터 콜렉션이 지연됩니다. 데이터는 여전히 수집된 후 데이터 소스가 EPS 제한을 초과하는 것을 중지할 때 수집됩니다.

기본값은 5000입니다.
고급 옵션 사용

신뢰할 수 없는 인증서 허용, 워크플로우 대체, 워크플로우워크플로우 매개변수구성 옵션을 사용하려면 이 선택란을 선택하십시오.

이러한 매개변수는 이 선택란을 선택하는 경우에만 표시됩니다.
신뢰할 수 없음 허용 이 매개변수를 사용하는 경우, 프로토콜은 /opt/qradar/conf/trusted_certificates/ 디렉토리 내에 있는 자체 서명된 인증서 및 그렇지 않으면 신뢰할 수 없는 인증서를 승인할 수 있습니다. 매개변수를 사용하지 않는 경우, 스캐너는 신뢰할 수 있는 서명자가 서명한 인증서만 신뢰합니다.

인증서는 PEM 또는 RED 인코딩 2진형식이어야 하며 .crt 또는 .cert 파일로 저장되어야 합니다.

신뢰할 수 없는 인증서 허용 매개변수에 대해 하드코딩된 값을 포함하도록 워크플로우를 수정하는 경우 워크플로우가 UI에서 사용자의 선택사항을 대체합니다. 워크플로우에 이 매개변수를 포함하지 않으면 UI의 선택사항이 사용됩니다.
워크플로우 대체 워크플로우를 사용자 정의하려면 이 옵션을 사용하십시오. 이 옵션을 사용으로 설정하면 워크플로우워크플로우 매개변수 필드가 표시됩니다.
워크플로우

프로토콜 인스턴스가 대상 API에서 이벤트를 수집하는 방법을 정의하는 XML 문서입니다.

기본 워크플로우에 대한 자세한 정보는 Cisco Duo 프로토콜 워크플로우를 참조하십시오.
워크플로우 매개변수

워크플로우에서 직접 사용되는 매개변수 값을 포함하는 XML 문서입니다.

기본 워크플로우 매개변수에 대한 자세한 정보는 Cisco Duo 프로토콜 워크플로우를 참조하십시오.
사용 가능 기본적으로 로그 소스가 QRadar와 통신할 수 있도록 선택란이 선택되어 있습니다.
신뢰성

로그 소스의 신뢰성을 선택하십시오. 범위는 0 - 10입니다.

신뢰성은 소스 디바이스의 신뢰성 등급으로 판별되는 이벤트 또는 오펜스의 무결성을 나타냅니다. 여러 소스에서 동일한 이벤트를 보고하는 경우 신뢰성이 증가합니다. 기본값은 5입니다.
대상 이벤트 콜렉터 로그 소스의 대상으로 사용할 대상 이벤트 콜렉터를 선택하십시오.
통합 이벤트

로그 소스가 이벤트를 통합 (번들) 할 수 있도록 하려면 이 선택란을 선택하십시오.

기본적으로 자동으로 감지된 로그 소스는 QRadar의 시스템 설정에서 이벤트 통합 목록의 값을 상속합니다. 로그 소스를 작성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 겹쳐쓸 수 있습니다.
이벤트 페이로드 저장

로그 소스가 이벤트 페이로드 정보를 저장할 수 있도록 하려면 이 선택란을 선택하십시오.

기본적으로 자동으로 감지된 로그 소스는 QRadar의 시스템 설정에서 이벤트 페이로드 저장 목록의 값을 상속합니다. 로그 소스를 작성하거나 기존 구성을 편집할 때 각 로그 소스에 대해 이 옵션을 구성하여 기본값을 겹쳐쓸 수 있습니다.