Duo 활동 로그 수집

다음에서 지원:

이 문서에서는 Python으로 작성된 처리 스크립트를 Cloud Run 함수로 배포하여 Duo 활동 로그를 내보내고 Google Security Operations로 처리하는 방법과 로그 필드가 Google SecOps 통합 데이터 모델 (UDM) 필드에 매핑되는 방식을 설명합니다.

자세한 내용은 Google SecOps에 데이터 수집 개요를 참고하세요.

일반적인 배포는 Duo 활동과 Cloud Run 함수로 배포되어 로그를 Google SecOps로 전송하는 처리 스크립트로 구성됩니다. 고객 배포마다 다를 수 있으며 더 복잡할 수도 있습니다.

배포에는 다음 구성요소가 포함됩니다.

  • Duo 활동: 로그를 수집하는 플랫폼입니다.

  • Cloud Run 함수: Cloud Run 함수로 배포된 수집 스크립트로, Duo 활동에서 로그를 가져와 Google SecOps로 처리합니다.

  • Google SecOps: 로그를 보관하고 분석합니다.

참고: 수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 DUO_ACTIVITY 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

  • Duo 관리 패널에 액세스할 수 있는지 확인합니다.
  • Duo Admin API 버전 2 이상을 사용하고 있는지 확인합니다.

Duo 활동 구성

  1. 관리자 계정으로 Duo 관리 패널에 로그인합니다. 자세한 내용은 Duo Administration Admin Panel Overview를 참고하세요.
  2. 애플리케이션 > 애플리케이션 보호를 클릭합니다.
  3. 애플리케이션 목록에서 Admin API > 보호를 클릭하여 통합 키, 비밀 키, API 호스트 이름을 가져옵니다.
  4. Admin API 애플리케이션에 부여할 필수 권한을 선택합니다. 각 작업에 필요한 권한에 관한 자세한 내용은 Duo Admin API를 참고하세요.

Google SecOps용 로그 수집 구성

  1. Cloud Run 함수의 파일을 저장할 배포 디렉터리를 만듭니다. 이 디렉터리에는 배포에 필요한 모든 파일이 포함됩니다.
  2. Google SecOps GitHub 저장소에 있는 Duo 활동의 GitHub 하위 디렉터리에서 모든 파일을 이 배포 디렉터리에 복사합니다.
  3. 공통 폴더 및 모든 콘텐츠를 배포 디렉터리에 복사합니다.
  4. .env.yml 파일을 수정하여 필요한 모든 환경 변수를 추가합니다.
  5. Secret Manager에서 Secret로 표시된 환경 변수를 구성합니다. 보안 비밀을 만드는 방법에 관한 자세한 내용은 보안 비밀 만들기 및 액세스를 참고하세요.
  6. 보안 비밀의 리소스 이름을 환경 변수의 값으로 사용합니다.
  7. CHRONICLE_NAMESPACE 환경 변수에 값 DUO_ACTIVITY를 입력합니다.
  8. 소스 코드 필드에서 ZIP 업로드를 선택합니다.
  9. 대상 버킷 필드에서 찾아보기를 클릭하여 배포 중 소스 코드를 업로드할 Cloud Storage 버킷을 선택합니다.
  10. ZIP 파일 필드에서 찾아보기를 클릭하여 로컬 파일 시스템에서 업로드할 ZIP 파일을 선택합니다. 함수 소스 파일은 zip 파일의 루트에 있어야 합니다.
  11. 배포를 클릭합니다.

자세한 내용은 Cloud Run 함수로 배포된 수집 스크립트 사용을 참고하세요.

필드 매핑 참조

필드 매핑 참조: 이벤트 식별자에서 이벤트 유형으로

다음 표에는 DUO_ACTIVITY 로그 유형과 해당 UDM 이벤트 유형이 나와 있습니다.
Event Identifier Event Type Security Category
admin_activate_duo_push DEVICE_PROGRAM_DOWNLOAD
admin_factor_restrictions RESOURCE_PERMISSIONS_CHANGE
admin_login USER_UNCATEGORIZED
admin_rectivates_duo_push DEVICE_PROGRAM_DOWNLOAD
admin_reset_password USER_CHANGE_PASSWORD
admin_send_reset_password_email EMAIL_TRANSACTION
bypass_create RESOURCE_CREATION
bypass_delete RESOURCE_DELETION
bypass_view RESOURCE_READ
deregister_devices USER_RESOURCE_DELETION
device_change_enrollment_summary_notification_answered USER_COMMUNICATION
device_change_enrollment_summary_notification_answered_notify_admin USER_COMMUNICATION
device_change_enrollment_summary_notification_send USER_COMMUNICATION
device_change_notification_answered USER_COMMUNICATION
device_change_notification_answered_notify_admin USER_COMMUNICATION
device_change_notification_create RESOURCE_CREATION
device_change_notification_send USER_COMMUNICATION
group_create GROUP_CREATION
group_delete GROUP_DELETION
group_update GROUP_MODIFICATION
hardtoken_create RESOURCE_CREATION
hardtoken_delete RESOURCE_DELETION
hardtoken_resync RESOURCE_WRITTEN
hardtoken_update RESOURCE_WRITTEN
integration_create RESOURCE_CREATION
integration_delete RESOURCE_DELETION
integration_group_policy_add GROUP_UNCATEGORIZED
integration_group_policy_remove GROUP_UNCATEGORIZED
integration_policy_assign USER_UNCATEGORIZED
integration_policy_unassign USER_UNCATEGORIZED
integration_skey_bulk_view RESOURCE_READ
integration_skey_view RESOURCE_READ
integration_update RESOURCE_WRITTEN
log_export_start USER_UNCATEGORIZED
log_export_complete USER_UNCATEGORIZED
log_export_failure USER_UNCATEGORIZED
management_system_activate_device_cache DEVICE_CONFIG_UPDATE
management_system_active_device_cache_add_devices RESOURCE_CREATION
management_system_active_device_cache_delete_devices RESOURCE_DELETION
management_system_active_device_cache_edit_devices RESOURCE_WRITTEN
management_system_add_devices RESOURCE_CREATION
management_system_create RESOURCE_CREATION
management_system_delete RESOURCE_DELETION
management_system_delete_devices RESOURCE_DELETION
management_system_device_cache_add_devices RESOURCE_CREATION
management_system_device_cache_create RESOURCE_CREATION
management_system_device_cache_delete RESOURCE_DELETION
management_system_device_cache_delete_devices RESOURCE_DELETION
management_system_download_device_api_script DEVICE_PROGRAM_DOWNLOAD
management_system_pkcs12_enrollment RESOURCE_CREATION
management_system_sync_failure USER_UNCATEGORIZED
management_system_sync_success USER_UNCATEGORIZED
management_system_update USER_UNCATEGORIZED
management_system_view_password RESOURCE_READ
management_system_view_token RESOURCE_READ
phone_activation_code_regenerated RESOURCE_CREATION
phone_associate RESOURCE_CREATION
phone_create RESOURCE_CREATION
phone_delete RESOURCE_DELETION
phone_disassociate RESOURCE_DELETION
phone_new_sms_passcode RESOURCE_CREATION
phone_update RESOURCE_WRITTEN
policy_create RESOURCE_CREATION
policy_delete RESOURCE_DELETION
policy_update RESOURCE_WRITTEN
u2ftoken_create RESOURCE_CREATION
u2ftoken_delete RESOURCE_DELETION
user_not_enrolled_lockout USER_CHANGE_PERMISSIONS
user_adminapi_lockout USER_CHANGE_PERMISSIONS
user_lockout_cleared USER_CHANGE_PERMISSIONS
webauthncredential_create RESOURCE_CREATION
webauthncredential_delete RESOURCE_DELETION
webauthncredential_rename RESOURCE_WRITTEN

필드 매핑 참조: DUO_ACTIVITY

다음 표에는 DUO_ACTIVITY 로그 유형의 로그 필드와 해당 UDM 필드가 나와 있습니다.

Log field UDM mapping Logic
principal.platform If the access_device.os log field value matches the regular expression pattern (?i)Win, then the principal.platform UDM field is set to WINDOWS.

Else, if the access_device.os log field value matches the regular expression pattern (?i)Lin, then the principal.platform UDM field is set to LINUX.

Else, if the access_device.os log field value matches the regular expression pattern (?i)Mac, then the principal.platform UDM field is set to MAC.

Else, if the access_device.os log field value matches the regular expression pattern (?i)ios, then the principal.platform UDM field is set to IOS.

Else, if the access_device.os log field value matches the regular expression pattern (?i)Chrome, then the principal.platform UDM field is set to CHROME_OS.

Else, if the access_device.os log field value matches the regular expression pattern (?i)Android, then the principal.platform UDM field is set to ANDROID.

Else, the principal.platform UDM field is set to UNKNOWN_PLATFORM.
access_device.os_version principal.platform_version
access_device.ip.address principal.ip
access_device.location.country principal.location.country_or_region
access_device.location.state principal.location.state
access_device.location.city principal.location.city
access_device.browser principal.asset.attribute.labels[access_device_browser]
access_device.browser_version principal.asset.attribute.labels[access_device_browser_version]
ts metadata.event_timestamp
activity_id metadata.product_log_id
akey principal.asset.product_object_id
outcome.result security_result.action_details
application.key principal.resource.product_object_id
application.name principal.application
application.type principal.resource.resource_subtype
action.details principal.user.attribute.labels[action_details]
action.name metadata.product_event_type
actor.key principal.user.userid
actor.name principal.user.user_display_name
actor.type principal.user.attribute.labels[actor_type]
target.key target.asset.attribute.labels[target_key]
target.name target.asset.hostname
target.type target.asset.category
target.details target.user.attribute.labels[target_details]
old_target.key about.asset.attribute.labels[old_target_key]
old_target.name about.asset.hostname
old_target.type about.asset.category
old_target.details about.user.attribute.labels[old_target_details]
actor.details.created principal.user.first_seen_time
actor.details.last_login principal.user.last_login_time
actor.details.status principal.user.attribute.labels[status]
actor.details.email principal.user.email_addresses
actor.details.group.key principal.user.attribute.labels[actor_details_group_key]
actor.details.group.name principal.user.attribute.labels[actor_details_group_name]

다음 단계

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.