Recoger registros de actividad de Duo

Disponible en:

En este documento se describe cómo exportar los registros de actividad de Duo e insertarlos en Google Security Operations implementando la secuencia de comandos de inserción escrita en Python como una función de Cloud Run, así como la asignación de los campos de registro a los campos del modelo de datos unificado (UDM) de Google SecOps.

Para obtener más información, consulta el artículo Descripción general de la ingesta de datos en Google SecOps.

Una implementación típica consta de la actividad de Duo y de la secuencia de comandos de ingestión desplegada como funciones de Cloud Run para enviar registros a Google SecOps. Cada implementación de cliente puede ser diferente y más compleja.

La implementación contiene los siguientes componentes:

  • Actividad de Duo: la plataforma de la que recoges los registros.

  • Cloud Run Functions: la secuencia de comandos de ingesta se ha desplegado como Cloud Run Functions para obtener registros de la actividad de Duo e insertarlos en Google SecOps.

  • Google SecOps: conserva y analiza los registros.

Nota: Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión DUO_ACTIVITY.

Antes de empezar

  • Asegúrate de que tienes acceso al panel de administración de Duo.
  • Asegúrate de que estás usando la versión 2 o una posterior de la API Duo Admin.

Configurar la actividad de Duo

  1. Inicia sesión en el panel de administración de Duo como administrador. Para obtener más información, consulta el artículo Descripción general del panel de administración de Duo.
  2. Haz clic en Aplicaciones > Proteger una aplicación.
  3. En la lista Aplicaciones, haz clic en API Admin > Proteger para obtener tu clave de integración, tu clave secreta y el nombre de host de la API.
  4. Selecciona los permisos necesarios que quieras conceder a la aplicación de la API Admin. Para obtener más información sobre los permisos necesarios para las operaciones correspondientes, consulta la API Duo Admin.

Configurar la ingesta de registros para Google SecOps

  1. Crea un directorio de implementación para almacenar los archivos de las funciones de Cloud Run. Este directorio contendrá todos los archivos necesarios para la implementación.
  2. Copia todos los archivos del subdirectorio de GitHub de la actividad de Duo, que se encuentra en el repositorio de GitHub de Google SecOps, en este directorio de implementación.
  3. Copia la carpeta común y todo su contenido en el directorio de implementación.
  4. Edita el archivo .env.yml para añadir todas las variables de entorno necesarias.
  5. Configura las variables de entorno marcadas como Secreto en Secret Manager. Para obtener más información sobre cómo crear secretos, consulta Crear y acceder a secretos.
  6. Usa el nombre del recurso del secreto como valor de las variables de entorno.
  7. Introduce el valor DUO_ACTIVITY en la variable de entorno CHRONICLE_NAMESPACE.
  8. En el campo Código fuente, seleccione Subida de ZIP.
  9. En el campo Segmento de destino, haz clic en Examinar para seleccionar un segmento de Cloud Storage al que subir el código fuente como parte de la implementación.
  10. En el campo Archivo ZIP, haga clic en Examinar para seleccionar un archivo ZIP que quiera subir desde su sistema de archivos local. Los archivos de origen de la función deben estar en la raíz del archivo ZIP.
  11. Haz clic en Desplegar.

Para obtener más información, consulta Usar secuencias de comandos de ingestión implementadas como funciones de Cloud Run.

Formatos admitidos del registro de actividad de Duo

El analizador de actividad de Duo admite registros en formato JSON.

Registros de ejemplo de actividad de Duo admitidos

  1. JSON

      {
    "access_device": {
      "browser": "Chrome",
      "browser_version": "127.0.0.0",
      "ip": {
        "address": "198.51.100.0"
      },
      "location": {
        "city": "Riverside",
        "country": "United States",
        "state": "California"
      },
      "os": "Windows",
      "os_version": "10"
    },
    "action": {
      "details": null,
      "name": "bypass_create"
    },
    "activity_id": "188c068b-1ef4-4c0a-80cc-700ee9a08612",
    "actor": {
      "details": "{\\"created\\": \\"2022-09-15T17: 27: 31.000000+00: 00\\", \\"last_login\\": \\"2024-08-26T22: 48: 50.000000+00: 00\\", \\"email\\": \\"test@gmail.com\\", \\"status\\": null, \\"groups\\": null}",
      "key": "dummyuserid",
      "name": "test",
      "type": "admin"
    },
    "akey": "DA06L58ASEO0DOKNXGXZ",
    "application": null,
    "old_target": null,
    "outcome": null,
    "target": {
      "details": "{\\"bkeys\\": [\\"DB8VPGAF6674GKS43FS9\\"], \\"count\\": 1, \\"valid_secs\\": 3600, \\"remaining_uses\\": 1, \\"auto_generated\\": true}",
      "key": "DU3H7GRU6UIENBKX5HRA",
      "name": "test",
      "type": "user_bypass"
    },
    "ts": "2024-08-26T22:49:21.975784+00:00"
  }

Referencia de asignación de campos

Referencia de asignación de campos: identificador de evento a tipo de evento

En la siguiente tabla se enumeran los DUO_ACTIVITY tipos de registros y sus tipos de eventos de UDM correspondientes.
Event Identifier Event Type Security Category
admin_activate_duo_push DEVICE_PROGRAM_DOWNLOAD
admin_factor_restrictions RESOURCE_PERMISSIONS_CHANGE
admin_login USER_UNCATEGORIZED
admin_rectivates_duo_push DEVICE_PROGRAM_DOWNLOAD
admin_reset_password USER_CHANGE_PASSWORD
admin_send_reset_password_email EMAIL_TRANSACTION
bypass_create RESOURCE_CREATION
bypass_delete RESOURCE_DELETION
bypass_view RESOURCE_READ
deregister_devices USER_RESOURCE_DELETION
device_change_enrollment_summary_notification_answered USER_COMMUNICATION
device_change_enrollment_summary_notification_answered_notify_admin USER_COMMUNICATION
device_change_enrollment_summary_notification_send USER_COMMUNICATION
device_change_notification_answered USER_COMMUNICATION
device_change_notification_answered_notify_admin USER_COMMUNICATION
device_change_notification_create RESOURCE_CREATION
device_change_notification_send USER_COMMUNICATION
group_create GROUP_CREATION
group_delete GROUP_DELETION
group_update GROUP_MODIFICATION
hardtoken_create RESOURCE_CREATION
hardtoken_delete RESOURCE_DELETION
hardtoken_resync RESOURCE_WRITTEN
hardtoken_update RESOURCE_WRITTEN
integration_create RESOURCE_CREATION
integration_delete RESOURCE_DELETION
integration_group_policy_add GROUP_UNCATEGORIZED
integration_group_policy_remove GROUP_UNCATEGORIZED
integration_policy_assign USER_UNCATEGORIZED
integration_policy_unassign USER_UNCATEGORIZED
integration_skey_bulk_view RESOURCE_READ
integration_skey_view RESOURCE_READ
integration_update RESOURCE_WRITTEN
log_export_start USER_UNCATEGORIZED
log_export_complete USER_UNCATEGORIZED
log_export_failure USER_UNCATEGORIZED
management_system_activate_device_cache DEVICE_CONFIG_UPDATE
management_system_active_device_cache_add_devices RESOURCE_CREATION
management_system_active_device_cache_delete_devices RESOURCE_DELETION
management_system_active_device_cache_edit_devices RESOURCE_WRITTEN
management_system_add_devices RESOURCE_CREATION
management_system_create RESOURCE_CREATION
management_system_delete RESOURCE_DELETION
management_system_delete_devices RESOURCE_DELETION
management_system_device_cache_add_devices RESOURCE_CREATION
management_system_device_cache_create RESOURCE_CREATION
management_system_device_cache_delete RESOURCE_DELETION
management_system_device_cache_delete_devices RESOURCE_DELETION
management_system_download_device_api_script DEVICE_PROGRAM_DOWNLOAD
management_system_pkcs12_enrollment RESOURCE_CREATION
management_system_sync_failure USER_UNCATEGORIZED
management_system_sync_success USER_UNCATEGORIZED
management_system_update USER_UNCATEGORIZED
management_system_view_password RESOURCE_READ
management_system_view_token RESOURCE_READ
phone_activation_code_regenerated RESOURCE_CREATION
phone_associate RESOURCE_CREATION
phone_create RESOURCE_CREATION
phone_delete RESOURCE_DELETION
phone_disassociate RESOURCE_DELETION
phone_new_sms_passcode RESOURCE_CREATION
phone_update RESOURCE_WRITTEN
policy_create RESOURCE_CREATION
policy_delete RESOURCE_DELETION
policy_update RESOURCE_WRITTEN
u2ftoken_create RESOURCE_CREATION
u2ftoken_delete RESOURCE_DELETION
user_not_enrolled_lockout USER_CHANGE_PERMISSIONS
user_adminapi_lockout USER_CHANGE_PERMISSIONS
user_lockout_cleared USER_CHANGE_PERMISSIONS
webauthncredential_create RESOURCE_CREATION
webauthncredential_delete RESOURCE_DELETION
webauthncredential_rename RESOURCE_WRITTEN

Referencia de asignación de campos: DUO_ACTIVITY

En la siguiente tabla se enumeran los campos de registro del tipo de registro DUO_ACTIVITY y sus campos de UDM correspondientes.

Log field UDM mapping Logic
principal.platform If the access_device.os log field value matches the regular expression pattern (?i)Win, then the principal.platform UDM field is set to WINDOWS.

Else, if the access_device.os log field value matches the regular expression pattern (?i)Lin, then the principal.platform UDM field is set to LINUX.

Else, if the access_device.os log field value matches the regular expression pattern (?i)Mac, then the principal.platform UDM field is set to MAC.

Else, if the access_device.os log field value matches the regular expression pattern (?i)ios, then the principal.platform UDM field is set to IOS.

Else, if the access_device.os log field value matches the regular expression pattern (?i)Chrome, then the principal.platform UDM field is set to CHROME_OS.

Else, if the access_device.os log field value matches the regular expression pattern (?i)Android, then the principal.platform UDM field is set to ANDROID.

Else, the principal.platform UDM field is set to UNKNOWN_PLATFORM.
access_device.os_version principal.platform_version
access_device.ip.address principal.ip
access_device.location.country principal.location.country_or_region
access_device.location.state principal.location.state
access_device.location.city principal.location.city
access_device.browser principal.asset.attribute.labels[access_device_browser]
access_device.browser_version principal.asset.attribute.labels[access_device_browser_version]
ts metadata.event_timestamp
activity_id metadata.product_log_id
akey principal.asset.product_object_id
outcome.result security_result.action_details
application.key principal.resource.product_object_id
application.name principal.application
application.type principal.resource.resource_subtype
action.details principal.user.attribute.labels[action_details]
action.name metadata.product_event_type
actor.key principal.user.userid
actor.name principal.user.user_display_name
actor.type principal.user.attribute.labels[actor_type]
target.key target.asset.attribute.labels[target_key]
target.name target.asset.hostname
target.type target.asset.category
target.details target.user.attribute.labels[target_details]
old_target.key about.asset.attribute.labels[old_target_key]
old_target.name about.asset.hostname
old_target.type about.asset.category
old_target.details about.user.attribute.labels[old_target_details]
actor.details.created principal.user.first_seen_time
actor.details.last_login principal.user.last_login_time
actor.details.status principal.user.attribute.labels[status]
actor.details.email principal.user.email_addresses
actor.details.group.key principal.user.attribute.labels[actor_details_group_key]
actor.details.group.name principal.user.attribute.labels[actor_details_group_name]

Siguientes pasos

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.