Configuración de Duo y un terminal seguro para responder a las amenazas

Opciones de descarga

  • PDF     (3.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (3.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.4 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:20 de abril de 2023
ID del documento:220404

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    DUO Login Flow

    Este documento describe cómo integrar Duo Trusted EndPoints con Cisco Secure EndPoint.

    Antecedentes

    La integración entre Cisco Secure EndPoint y Duo permite una colaboración eficaz en respuesta a las amenazas detectadas en los dispositivos de red de confianza. Esta integración se consigue mediante varias herramientas de gestión de dispositivos que establecen la fiabilidad de cada dispositivo. Algunas de estas herramientas son:

    • Servicios de dominio de Active Directory
    • Active Directory con estado del dispositivo
    • Genérico con estado del dispositivo
    • Intune con el estado del dispositivo
    • Jamf Pro con Device Health
    • LANDESK Management Suite
    • Herramienta de gestión de activos empresariales Mac OS X
    • Manual con estado del dispositivo
    • Herramienta Windows Enterprise Asset Management
    • Espacio de trabajo UNO con estado del dispositivo

    Una vez que los dispositivos se han integrado con una herramienta de gestión de dispositivos, es posible integrar Cisco Secure EndPoint y Duo mediante API en el Administration Panel. Posteriormente, debe configurarse la política adecuada en Duo para ejecutar la verificación de dispositivos de confianza y detectar dispositivos comprometidos que puedan afectar a las aplicaciones protegidas por Duo.

    Nota: En este caso, trabajamos con Active Directory y Device Health.

    Prerequisites

    • Active Directory para realizar la integración.
    • Para integrar Duo con terminales de confianza, los dispositivos deben estar registrados en el dominio de Active Directory. Esto permite a Duo autenticar y autorizar el acceso a los recursos y servicios de la red de forma segura.
    • Duo más allá del plan.

    Configuración y caso práctico

    Configuración de la integración en Duo

    Inicie sesión en el Admin Panel y vaya a:

    • Trusted EndPoints > Add Integration
    • Seleccionar Active Directory Domain Services

    DUO Add Management Tools Integration

    Después de esto, se le redirige para configurar el Active Directory and Device Health.

    Tenga en cuenta que esto sólo funciona con equipos del dominio.

    Vaya al directorio activo y ejecute el siguiente comando en PowerShell:

    (Get-ADDomain | Format-Table -Property DomainSID -HideTableHeaders | Out-String).Trim() | clip

    Active Directory SID string

    Después de esto, asegúrese de haber copiado en el portapapeles el identificador de seguridad de su Active Directory.

    Ejemplo: 

    S-1-5-21-2952046551-2792955545-1855548404

    Esto se utiliza en Active Directory y Device Health Integration.

    DUO Active Directory SID Integration

    Haga clic en Save y posibilitar la integración y Activate for all.  De lo contrario, no podrá realizar la integración con Cisco Secure EndPoint.

    Integration Status Button

    Vaya a Trusted EndPoints > Select Endpoint Detection & Response System > Add this integration.

    Trusted EndPoints Active Directory With Device Health Integration

    Ahora se encuentra en la página principal de la integración de Cisco Secure EndPoint.

    Cisco Secure Endpoints Integration

    Después de esto, vaya a la Admin Panel de Cisco Secure EndPoint.

    Configuración de la integración en Cisco Secure EndPoint

    Y navegue hasta Accounts > API Credentials y seleccione New API Credentials.

    Cisco Secure Endpoint API Creation

    API Creation - Read Only

    Nota: sólo Read-only se necesita para realizar esta integración, ya que Duo hace GET consultas a Cisco Secure EndPoint para saber si el dispositivo cumple los requisitos de la política.

    Insertar Application Name, Scope, y Create.

    API Parameters - Integration

    • Copie el 3rd API Party Client ID desde Cisco Secure EndPoint a Duo Admin Panel in Client ID.
    • Copie el API Key desde Cisco Secure EndPoint a Duo Admin Panel in API Key.

    DUO and Secure Endpoint API Integration

    Pruebe la integración y, si todo funciona correctamente, haga clic en Save para guardar la integración.

    Configurar políticas en dúo

    Para configurar las políticas de integración, vaya a través de la aplicación:

    Navigate to Application > Search for your Application > Select your policy

    DUO App Creation

    Configuración de la política para detectar un dispositivo de confianza

    Policy Require Endpoint to be Trusted

    Probar máquinas de confianza

    Equipo con Duo Device Health y se unió al dominio

    Trusted Endpoint Status

    Equipo fuera del dominio sin Duo Device Health

    Unable to Communicate with Device Health

    Download Device Health

    Equipo fuera del dominio con Duo Device Health

    Machine Outside Domain not Trusted

    Not Trusted Access not Allowed

    Configuración de la política para Cisco Secure EndPoint

    En esta configuración de directiva, configure el dispositivo ya de confianza para cumplir los requisitos sobre amenazas que pueden afectar a la aplicación, de modo que si un dispositivo se infecta o si algunos comportamientos marcan ese equipo con suspicious artifacts or Indicators of Compromise, puede bloquear el acceso del equipo a las aplicaciones seguras.

    Allow Cisco Secure Endpoint to Block Compromised Endpoints

    Pruebe las máquinas de confianza con Cisco Secure EndPoint

    Equipo sin Cisco Secure Agent instalado

    En este caso, la máquina puede pasar sin la verificación de AMP.

    Trusted Endpoint Reporting

    Si desea tener una política restrictiva, puede configurar la política para que sea más restrictiva si modifica la Device Health Application política de Reporting a Enforcing.

    Y añada Block Access if an EndPoint Security Agent is not running.

    Trusted Endpoint Enforcing Cisco Secure EndpointOrdenador sin infección

    Con una máquina, sin infección, puede probar cómo funciona Duo con Cisco Secure EndPoint para intercambiar información sobre el estado de la máquina y cómo se muestran los eventos en este caso en Duo y Cisco Secure EndPoint.

    Si comprueba el estado de su equipo en Cisco Secure EndPoint:

    Navigate to Management > Computers.

    Cuando filtra para su máquina, puede ver el evento de eso, y en este caso, puede determinar que su máquina está limpia.

    Cisco Secure Endpoint Computer

    Puede ver que no hay detección para su dispositivo, y también está en un estado de limpio, lo que significa que su máquina no está en triage para asistir.

    Cisco Secure Endpoint Events

    Así es como Duo clasifica esa máquina:

    Trusted Endpoint not in Triage

    La máquina mantiene el trusted etiqueta.

    ¿Qué sucede si la misma máquina se infecta por una Malicious Actortiene intentos repetitivos de infección, o Indicators of Compromise alertas sobre esta máquina?

    Ordenador con infección

    Para probar la función con un ejemplo de EICAR, acceda a https://www.eicar.org/ y descargue una muestra maliciosa.

    Nota: No se preocupe. Puede descargar esa prueba EICAR, es segura y es sólo un archivo de prueba.

    Eicar

    Desplácese hacia abajo y vaya a la sección y descargue el archivo de prueba.

    Eicar File Download

    Cisco Secure EndPoint detecta el malware y lo pone en cuarentena.

    Eicar Detection

    Así es como cambia, como se muestra en el panel Cisco Secure EndPoint Admin.

    Event Detection as Malware

    También dispone de la detección del malware en la máquina, pero esto significa que se considera que los terminales están analizados en la clasificación de Cisco Secure EndPoint en la Inbox.

    Nota: Para enviar un terminal al triaje, necesita tener varias detecciones de artefactos o comportamientos extraños que activen algunos Indicators of Compromise en el terminal.

    En la sección Dashboard, haga clic en el Inbox.

    Cisco Secure Endpoint Inbox

    Ahora tienes una máquina que requiere atención.

    Cisco Secure Endpoint Triage

    Ahora, cambie a Duo y vea cuál es el estado.

    La autenticación se intenta primero para ver el comportamiento después de que el equipo se haya colocado en el Cisco Secure EndPoint en Require Attention.

    Not Trusted Endpoint in Triage

    Así es como cambia en Duo y como se muestra el evento bajo eventos de autenticación.

    Denied Access Endpoint in Triage

    Se ha detectado que su equipo no es un dispositivo de seguridad para su organización.

    Permitir el acceso a un equipo después de la revisión

    Triage Workflow

    Después de la verificación en Cisco Secure EndPoint y por su especialista en ciberseguridad, puede permitir el acceso a esta máquina a su aplicación en Duo.

    Ahora la pregunta es cómo permitir el acceso de nuevo a la aplicación protegida por Duo.

    Debe pasar por Cisco Secure EndPoint y, en su Inbox, marque este dispositivo como resolved para permitir el acceso a la aplicación protegida por Duo.

    Triage Process

    Después de eso, no tiene la máquina con el estado attention required. Esto cambió a resolved estado.

    Triage Resolved Status

    En pocas palabras, ahora está preparado para volver a probar el acceso a nuestra aplicación protegida por Duo.

    DUO Push Request

    Ahora tiene permiso para enviar la pulsación a Duo y ha iniciado sesión en la aplicación.

    Trusted After Triage

    Flujo de trabajo de selección

    Triage Flow

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    20-Apr-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jairo Andres Moreno Ciro
      TAC
    • Jean Orozco Navarro
      TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos