Esta página se ha traducido con Cloud Translation API.

Recopilar registros de autenticación de Duo

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de autenticación de Duo en Google Security Operations mediante Amazon S3. El analizador extrae los registros de los mensajes con formato JSON. Transforma los datos de registro sin procesar en el modelo de datos unificado (UDM), asignando campos como el usuario, el dispositivo, la aplicación, la ubicación y los detalles de autenticación, al tiempo que gestiona varios factores y resultados de autenticación para clasificar los eventos de seguridad. El analizador también limpia los datos, convierte los tipos y gestiona los errores para asegurar la calidad y la coherencia de los datos.

Antes de empezar

Instancia de Google SecOps
Acceso con privilegios al arrendatario de Duo (aplicación de la API Admin)
Acceso privilegiado a AWS (S3, IAM, Lambda y EventBridge)

Configurar la aplicación de la API Duo Admin

Inicia sesión en el panel de administración de Duo.
Ve a Aplicaciones > Proteger una aplicación.
Añade la aplicación API Admin.
Copia y guarda los siguientes valores en una ubicación segura:
- Clave de integración (ikey)
- Clave secreta (skey)
- Nombre de host de la API (por ejemplo, api-XXXXXXXX.duosecurity.com)
En Permisos, habilita Conceder registro de lectura (para leer los registros de autenticación).
Guarda la aplicación.

Configurar un segmento de AWS S3 y IAM para Google SecOps

Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
Guarda el nombre y la región del segmento para consultarlos más adelante (por ejemplo, duo-auth-logs).
Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
Selecciona el Usuario creado.
Selecciona la pestaña Credenciales de seguridad.
En la sección Claves de acceso, haz clic en Crear clave de acceso.
Selecciona Servicio de terceros como Caso práctico.
Haz clic en Siguiente.
Opcional: añade una etiqueta de descripción.
Haz clic en Crear clave de acceso.
Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
Haz clic en Listo.
Selecciona la pestaña Permisos.
En la sección Políticas de permisos, haz clic en Añadir permisos.
Selecciona Añadir permisos.
Seleccione Adjuntar políticas directamente.
Busca y selecciona la política AmazonS3FullAccess.
Haz clic en Siguiente.
Haz clic en Añadir permisos.

Configurar la política y el rol de gestión de identidades y accesos para las subidas de S3

Ve a la consola de AWS > IAM > Políticas > Crear política > pestaña JSON.

Introduce la siguiente política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutDuoAuthObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::duo-auth-logs/*"
    },
    {
      "Sid": "AllowGetStateObject",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::duo-auth-logs/duo/auth/state.json"
    }
  ]
}

Sustituye duo-auth-logs si has introducido otro nombre de segmento.

Haz clic en Siguiente > Crear política.
Ve a IAM > Roles > Crear rol > Servicio de AWS > Lambda.
Adjunte la política que acaba de crear.
Dale el nombre WriteDuoAuthToS3Role al rol y haz clic en Crear rol.

Crear la función Lambda

En la consola de AWS, ve a Lambda > Funciones > Crear función.
Haz clic en Crear desde cero.
Proporciona los siguientes detalles de configuración:

Ajuste Valor

Nombre duo_auth_to_s3

Tiempo de ejecución Python 3.13

Arquitectura x86_64

Rol de ejecución WriteDuoAuthToS3Role

Ajuste	Valor
Nombre	`duo_auth_to_s3`
Tiempo de ejecución	Python 3.13
Arquitectura	x86_64
Rol de ejecución	`WriteDuoAuthToS3Role`

Una vez creada la función, abra la pestaña Código, elimine el stub e introduzca el siguiente código (duo_auth_to_s3.py):

#!/usr/bin/env python3
# Lambda: Pull Duo Admin API v2 Authentication Logs to S3 (raw JSON pages)
# Notes:
# - Duo v2 requires mintime/maxtime in *milliseconds* (13-digit epoch).
# - Pagination via metadata.next_offset ("<millis>,<txid>").
# - We save state (mintime_ms) in ms to resume next run without gaps.

import os, json, time, hmac, hashlib, base64, email.utils, urllib.parse
from urllib.request import Request, urlopen
from urllib.error import HTTPError, URLError
import boto3

DUO_IKEY = os.environ["DUO_IKEY"]
DUO_SKEY = os.environ["DUO_SKEY"]
DUO_API_HOSTNAME = os.environ["DUO_API_HOSTNAME"].strip()
S3_BUCKET = os.environ["S3_BUCKET"]
S3_PREFIX = os.environ.get("S3_PREFIX", "duo/auth/").strip("/")
STATE_KEY = os.environ.get("STATE_KEY", "duo/auth/state.json")
LIMIT = min(int(os.environ.get("LIMIT", "500")), 1000)  # default 100, max 1000

s3 = boto3.client("s3")

def _canon_params(params: dict) -> str:
    parts = []
    for k in sorted(params.keys()):
        v = params[k]
        if v is None:
            continue
        parts.append(f"{urllib.parse.quote(str(k), '~')}={urllib.parse.quote(str(v), '~')}")
    return "&".join(parts)

def _sign(method: str, host: str, path: str, params: dict) -> dict:
    now = email.utils.formatdate()
    canon = "\n".join([now, method.upper(), host.lower(), path, _canon_params(params)])
    sig = hmac.new(DUO_SKEY.encode("utf-8"), canon.encode("utf-8"), hashlib.sha1).hexdigest()
    auth = base64.b64encode(f"{DUO_IKEY}:{sig}".encode()).decode()
    return {"Date": now, "Authorization": f"Basic {auth}"}

def _http(method: str, path: str, params: dict, timeout: int = 60, max_retries: int = 5) -> dict:
    host = DUO_API_HOSTNAME
    assert host.startswith("api-") and host.endswith(".duosecurity.com"), \
        "DUO_API_HOSTNAME must be like api-XXXXXXXX.duosecurity.com"
    qs = _canon_params(params)
    url = f"https://{host}{path}" + (f"?{qs}" if qs else "")

    attempt, backoff = 0, 1.0
    while True:
        req = Request(url, method=method.upper())
        req.add_header("Accept", "application/json")
        for k, v in _sign(method, host, path, params).items():
            req.add_header(k, v)
        try:
            with urlopen(req, timeout=timeout) as r:
                return json.loads(r.read().decode("utf-8"))
        except HTTPError as e:
            if (e.code == 429 or 500 <= e.code <= 599) and attempt < max_retries:
                time.sleep(backoff); attempt += 1; backoff *= 2; continue
            raise
        except URLError:
            if attempt < max_retries:
                time.sleep(backoff); attempt += 1; backoff *= 2; continue
            raise

def _read_state_ms() -> int | None:
    try:
        obj = s3.get_object(Bucket=S3_BUCKET, Key=STATE_KEY)
        val = json.loads(obj["Body"].read()).get("mintime")
        if val is None:
            return None
        # Backward safety: if seconds were stored, convert to ms
        return int(val) * 1000 if len(str(int(val))) <= 10 else int(val)
    except Exception:
        return None

def _write_state_ms(mintime_ms: int):
    body = json.dumps({"mintime": int(mintime_ms)}).encode("utf-8")
    s3.put_object(Bucket=S3_BUCKET, Key=STATE_KEY, Body=body, ContentType="application/json")

def _write_page(payload: dict, when_epoch_s: int, page: int) -> str:
    key = f"{S3_PREFIX}/{time.strftime('%Y/%m/%d', time.gmtime(when_epoch_s))}/duo-auth-{page:05d}.json"
    s3.put_object(
        Bucket=S3_BUCKET,
        Key=key,
        Body=json.dumps(payload, separators=(",", ":")).encode("utf-8"),
        ContentType="application/json",
    )
    return key

def fetch_and_store():
    now_s = int(time.time())
    # Duo recommends a ~2-minute delay buffer; use maxtime = now - 120 seconds (in ms)
    maxtime_ms = (now_s - 120) * 1000
    mintime_ms = _read_state_ms() or (maxtime_ms - 3600 * 1000)  # 1 hour on first run

    page = 0
    total = 0
    next_offset = None

    while True:
        params = {"mintime": mintime_ms, "maxtime": maxtime_ms, "limit": LIMIT}
        if next_offset:
            params["next_offset"] = next_offset

        data = _http("GET", "/admin/v2/logs/authentication", params)
        _write_page(data, maxtime_ms // 1000, page)
        page += 1

        resp = data.get("response")
        items = resp if isinstance(resp, list) else []
        total += len(items)

        meta = data.get("metadata") or {}
        next_offset = meta.get("next_offset")
        if not next_offset:
            break

    # Advance window to maxtime_ms for next run
    _write_state_ms(maxtime_ms)
    return {"ok": True, "pages": page, "events": total, "next_mintime_ms": maxtime_ms}

def lambda_handler(event=None, context=None):
    return fetch_and_store()

if __name__ == "__main__":
    print(lambda_handler())

Ve a Configuración > Variables de entorno > Editar > Añadir nueva variable de entorno.

Introduce las siguientes variables de entorno proporcionadas y sustitúyelas por tus valores:

Clave	Ejemplo
`S3_BUCKET`	`duo-auth-logs`
`S3_PREFIX`	`duo/auth/`
`STATE_KEY`	`duo/auth/state.json`
`DUO_IKEY`	`DIXYZ...`
`DUO_SKEY`	`****************`
`DUO_API_HOSTNAME`	`api-XXXXXXXX.duosecurity.com`
`LIMIT`	`500`

Una vez creada la función, permanece en su página (o abre Lambda > Funciones > tu‑función).
Seleccione la pestaña Configuración.
En el panel Configuración general, haz clic en Editar.
Cambia Tiempo de espera a 5 minutos (300 segundos) y haz clic en Guardar.

Nota: El tiempo de espera es un límite superior estricto, lo que significa que, si la función sigue ejecutándose cuando el temporizador llegue a los 5 minutos, AWS Lambda la finalizará. Si la ejecución es más corta, se completará con normalidad y solo se te cobrará por el tiempo de ejecución real.

Crear una programación de EventBridge

Ve a Amazon EventBridge > Scheduler > Create schedule (Amazon EventBridge > Programador > Crear programación).
Proporcione los siguientes detalles de configuración:
- Programación periódica: Precio (1 hour).
- Destino: tu función Lambda.
- Nombre: duo-auth-1h.
Haz clic en Crear programación.

Opcional: Crear un usuario y claves de gestión de identidades y accesos de solo lectura para Google SecOps

En la consola de AWS, vaya a IAM > Usuarios y, a continuación, haga clic en Añadir usuarios.
Proporcione los siguientes detalles de configuración:
- Usuario: introduce un nombre único (por ejemplo, secops-reader).
- Tipo de acceso: selecciona Clave de acceso - Acceso programático.
- Haz clic en Crear usuario.
Asigna una política de lectura mínima (personalizada): Usuarios > selecciona secops-reader > Permisos > Añadir permisos > Asignar políticas directamente > Crear política.

En el editor de JSON, introduce la siguiente política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::<your-bucket>/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::<your-bucket>"
    }
  ]
}

Asigna el nombre secops-reader-policy.
Ve a Crear política > busca o selecciona > Siguiente > Añadir permisos.
Ve a Credenciales de seguridad > Claves de acceso > Crear clave de acceso.
Descarga el archivo CSV (estos valores se introducen en el feed).

Configurar un feed en Google SecOps para ingerir registros de autenticación de Duo

Ve a Configuración de SIEM > Feeds.
Haz clic en + Añadir nuevo feed.
En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Duo Authentication Logs).
Selecciona Amazon S3 V2 como Tipo de fuente.
Seleccione Autenticación de Duo como Tipo de registro.
Haz clic en Siguiente.
Especifique los valores de los siguientes parámetros de entrada:
- URI de S3: s3://duo-auth-logs/duo/auth/
- Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
- Antigüedad máxima de los archivos: 180 días de forma predeterminada.
- ID de clave de acceso: clave de acceso de usuario con acceso al bucket de S3.
- Clave de acceso secreta: clave secreta del usuario con acceso al bucket de S3.
- Espacio de nombres de recursos: el espacio de nombres de recursos.
- Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.
Haz clic en Siguiente.
Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`access_device.browser`	`target.resource.attribute.labels.value`	Si `access_device.browser` está presente, su valor se asigna al modelo de datos unificado.
`access_device.hostname`	`principal.hostname`	Si `access_device.hostname` está presente y no está vacío, su valor se asigna al UDM. Si está vacío y `event_type` es USER_CREATION, `event_type` cambia a USER_UNCATEGORIZED. Si `access_device.hostname` está vacío y existe el campo `hostname`, se usa el valor de `hostname`.
`access_device.ip`	`principal.ip`	Si `access_device.ip` existe y es una dirección IPv4 válida, su valor se asigna al UDM. Si no es una dirección IPv4 válida, se añade como valor de cadena a `additional.fields` con la clave `access_device.ip`.
`access_device.location.city`	`principal.location.city`	Si está presente, el valor se asigna al UDM.
`access_device.location.country`	`principal.location.country_or_region`	Si está presente, el valor se asigna al UDM.
`access_device.location.state`	`principal.location.state`	Si está presente, el valor se asigna al UDM.
`access_device.os`	`principal.platform`	Si está presente, el valor se traduce al valor de UDM correspondiente (MAC, WINDOWS o LINUX).
`access_device.os_version`	`principal.platform_version`	Si está presente, el valor se asigna al UDM.
`application.key`	`target.resource.id`	Si está presente, el valor se asigna al UDM.
`application.name`	`target.application`	Si está presente, el valor se asigna al UDM.
`auth_device.ip`	`target.ip`	Si está presente y no es "None", el valor se asigna al UDM.
`auth_device.location.city`	`target.location.city`	Si está presente, el valor se asigna al UDM.
`auth_device.location.country`	`target.location.country_or_region`	Si está presente, el valor se asigna al UDM.
`auth_device.location.state`	`target.location.state`	Si está presente, el valor se asigna al UDM.
`auth_device.name`	`target.hostname` O `target.user.phone_numbers`	Si `auth_device.name` está presente y es un número de teléfono (después de la normalización), se añade a `target.user.phone_numbers`. De lo contrario, se asigna a `target.hostname`.
`client_ip`	`target.ip`	Si está presente y no es "None", el valor se asigna al UDM.
`client_section`	`target.resource.attribute.labels.value`	Si `client_section` está presente, su valor se asigna al UDM con la clave `client_section`.
`dn`	`target.user.userid`	Si `dn` está presente y `user.name` y `username` no lo están, se extrae `userid` del campo `dn` mediante grok y se asigna al modelo de datos unificado. El valor de `event_type` es USER_LOGIN.
`event_type`	`metadata.product_event_type` Y `metadata.event_type`	El valor se asigna a `metadata.product_event_type`. También se usa para determinar el `metadata.event_type`: "authentication" se convierte en USER_LOGIN, "enrollment" se convierte en USER_CREATION y, si está vacío o no es ninguno de los dos, se convierte en GENERIC_EVENT.
`factor`	`extensions.auth.mechanism` Y `extensions.auth.auth_details`	El valor se traduce al valor de UDM `auth.mechanism` correspondiente (HARDWARE_KEY, REMOTE_INTERACTIVE, LOCAL, OTP). El valor original también se asigna a `extensions.auth.auth_details`.
`hostname`	`principal.hostname`	Si está presente y `access_device.hostname` está vacío, el valor se asigna al modelo de datos unificado.
`log_format`	`target.resource.attribute.labels.value`	Si `log_format` está presente, su valor se asigna al UDM con la clave `log_format`.
`log_level.__class_uuid__`	`target.resource.attribute.labels.value`	Si `log_level.__class_uuid__` está presente, su valor se asigna al UDM con la clave `__class_uuid__`.
`log_level.name`	`target.resource.attribute.labels.value` Y `security_result.severity`	Si `log_level.name` está presente, su valor se asigna al UDM con la clave `name`. Si el valor es "info", `security_result.severity` se define como INFORMATIONAL.
`log_logger.unpersistable`	`target.resource.attribute.labels.value`	Si `log_logger.unpersistable` está presente, su valor se asigna al UDM con la clave `unpersistable`.
`log_namespace`	`target.resource.attribute.labels.value`	Si `log_namespace` está presente, su valor se asigna al UDM con la clave `log_namespace`.
`log_source`	`target.resource.attribute.labels.value`	Si `log_source` está presente, su valor se asigna al UDM con la clave `log_source`.
`msg`	`security_result.summary`	Si está presente y `reason` está vacío, el valor se asigna al modelo de datos unificado.
`reason`	`security_result.summary`	Si está presente, el valor se asigna al UDM.
`result`	`security_result.action_details` Y `security_result.action`	Si está presente, el valor se asigna a `security_result.action_details`. "success" o "SUCCESS" se traduce como `security_result.action` ALLOW; de lo contrario, se traduce como BLOCK.
`server_section`	`target.resource.attribute.labels.value`	Si `server_section` está presente, su valor se asigna al UDM con la clave `server_section`.
`server_section_ikey`	`target.resource.attribute.labels.value`	Si `server_section_ikey` está presente, su valor se asigna al UDM con la clave `server_section_ikey`.
`status`	`security_result.action_details` Y `security_result.action`	Si está presente, el valor se asigna a `security_result.action_details`. "Permitir" se traduce como `security_result.action` ALLOW y "Rechazar" como BLOCK.
`timestamp`	`metadata.event_timestamp` Y `event.timestamp`	El valor se convierte en una marca de tiempo y se asigna a `metadata.event_timestamp` y `event.timestamp`.
`txid`	`metadata.product_log_id` Y `network.session_id`	El valor se asigna tanto a `metadata.product_log_id` como a `network.session_id`.
`user.groups`	`target.user.group_identifiers`	Todos los valores del array se añaden a `target.user.group_identifiers`.
`user.key`	`target.user.product_object_id`	Si está presente, el valor se asigna al UDM.
`user.name`	`target.user.userid`	Si está presente, el valor se asigna al UDM.
`username`	`target.user.userid`	Si está presente y `user.name` no lo está, el valor se asigna al UDM. El valor de `event_type` es USER_LOGIN.
(Lógica del analizador)	`metadata.vendor_name`	Siempre se le asigna el valor "DUO_SECURITY".
(Lógica del analizador)	`metadata.product_name`	Siempre se le asigna el valor "MULTI-FACTOR_AUTHENTICATION".
(Lógica del analizador)	`metadata.log_type`	Se toma del campo `log_type` de nivel superior del registro sin procesar.
(Lógica del analizador)	`extensions.auth.type`	Siempre se le asigna el valor "SSO".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.