Recoger registros de contexto de entidad de Duo

Disponible en:

En este documento se explica cómo ingerir datos de contexto de entidades de Duo en Google Security Operations mediante Amazon S3. El analizador transforma los registros JSON en un modelo de datos unificado (UDM). Para ello, primero extrae los campos del JSON sin procesar y, a continuación, asigna esos campos a los atributos del UDM. Gestiona varios casos prácticos de datos, como la información de usuarios y recursos, los detalles del software y las etiquetas de seguridad, lo que garantiza una representación completa en el esquema de UDM.

Antes de empezar

  • Instancia de Google SecOps
  • Acceso con privilegios al arrendatario de Duo (aplicación de la API Admin)
  • Acceso privilegiado a AWS (S3, IAM, Lambda y EventBridge)

Configurar la aplicación de la API Duo Admin

  1. Inicia sesión en el panel de administración de Duo.
  2. Ve a Aplicaciones > Catálogo de aplicaciones.
  3. Añade la aplicación API Admin.
  4. Anota los siguientes valores:
    • Clave de integración (ikey)
    • Clave secreta (skey)
    • Nombre de host de la API (por ejemplo, api-XXXXXXXX.duosecurity.com)
  5. En Permisos, habilita Conceder recurso – Lectura (para leer usuarios, grupos, dispositivos o endpoints).
  6. Guarda la aplicación.

Configurar un segmento de AWS S3 y IAM para Google SecOps

  1. Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
  2. Guarda el nombre y la región del segmento para consultarlos más adelante (por ejemplo, duo-context).
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Añadir permisos.

Configurar la política y el rol de gestión de identidades y accesos para las subidas de S3

  1. Ve a la consola de AWS > IAM > Políticas > Crear política > pestaña JSON.

  2. Introduce la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutDuoObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::duo-context/*"
    }
  ]
}
    • Sustituye duo-context si has introducido otro nombre de segmento:

  3. Haz clic en Siguiente > Crear política.

  4. Ve a IAM > Roles > Crear rol > Servicio de AWS > Lambda.

  5. Adjunte la política que acaba de crear.

  6. Dale el nombre WriteDuoToS3Role al rol y haz clic en Crear rol.

Crear la función Lambda

  1. En la consola de AWS, ve a Lambda > Funciones > Crear función.
  2. Haz clic en Crear desde cero.

  3. Proporciona los siguientes detalles de configuración:

    Ajuste Valor
    Nombre duo_entity_context_to_s3
    Tiempo de ejecución Python 3.13
    Arquitectura x86_64
    Rol de ejecución WriteDuoToS3Role

  4. Una vez creada la función, abra la pestaña Código, elimine el stub e introduzca el siguiente código (duo_entity_context_to_s3.py):

    #!/usr/bin/env python3

import os, json, time, hmac, hashlib, base64, email.utils, urllib.parse
from urllib.request import Request, urlopen
import boto3

# Env
DUO_IKEY = os.environ["DUO_IKEY"]
DUO_SKEY = os.environ["DUO_SKEY"]
DUO_API_HOSTNAME = os.environ["DUO_API_HOSTNAME"].strip()
S3_BUCKET = os.environ["S3_BUCKET"]
S3_PREFIX = os.environ.get("S3_PREFIX", "duo/context/")
# Default set can be adjusted via ENV
RESOURCES = [r.strip() for r in os.environ.get(
    "RESOURCES",
    "users,groups,phones,endpoints,tokens,webauthncredentials,desktop_authenticators"
).split(",") if r.strip()]
# Duo paging: default 100; max 500 for these endpoints
LIMIT = int(os.environ.get("LIMIT", "500"))

s3 = boto3.client("s3")

def _canon_params(params: dict) -> str:
    """RFC3986 encoding with '~' unescaped, keys sorted lexicographically."""
    if not params:
        return ""
    parts = []
    for k in sorted(params.keys()):
        v = params[k]
        if v is None:
            continue
        ks = urllib.parse.quote(str(k), safe="~")
        vs = urllib.parse.quote(str(v), safe="~")
        parts.append(f"{ks}={vs}")
    return "&".join(parts)

def _sign(method: str, host: str, path: str, params: dict) -> dict:
    """Construct Duo Admin API Authorization + Date headers (HMAC-SHA1)."""
    now = email.utils.formatdate()
    canon = "\n".join([now, method.upper(), host.lower(), path, _canon_params(params)])
    sig = hmac.new(DUO_SKEY.encode("utf-8"), canon.encode("utf-8"), hashlib.sha1).hexdigest()
    auth = base64.b64encode(f"{DUO_IKEY}:{sig}".encode("utf-8")).decode("utf-8")
    return {"Date": now, "Authorization": f"Basic {auth}"}

def _call(method: str, path: str, params: dict) -> dict:
    host = DUO_API_HOSTNAME
    assert host.startswith("api-") and host.endswith(".duosecurity.com"), \
        "DUO_API_HOSTNAME must be e.g. api-XXXXXXXX.duosecurity.com"
    qs = _canon_params(params)
    url = f"https://{host}{path}" + (f"?{qs}" if method.upper() == "GET" and qs else "")
    req = Request(url, method=method.upper())
    for k, v in _sign(method, host, path, params).items():
        req.add_header(k, v)
    with urlopen(req, timeout=60) as r:
        return json.loads(r.read().decode("utf-8"))

def _write_json(obj: dict, when: float, resource: str, page: int) -> str:
    prefix = S3_PREFIX.strip("/") + "/" if S3_PREFIX else ""
    key = f"{prefix}{time.strftime('%Y/%m/%d', time.gmtime(when))}/duo-{resource}-{page:05d}.json"
    s3.put_object(Bucket=S3_BUCKET, Key=key, Body=json.dumps(obj, separators=(",", ":")).encode("utf-8"))
    return key

def _fetch_resource(resource: str) -> dict:
    """Fetch all pages for a list endpoint using limit/offset + metadata.next_offset."""
    path = f"/admin/v1/{resource}"
    offset = 0
    page = 0
    now = time.time()
    total_items = 0

    while True:
        params = {"limit": LIMIT, "offset": offset}
        data = _call("GET", path, params)
        _write_json(data, now, resource, page)
        page += 1

        resp = data.get("response")
        # most endpoints return a list; if not a list, count as 1 object page
        if isinstance(resp, list):
            total_items += len(resp)
        elif resp is not None:
            total_items += 1

        meta = data.get("metadata") or {}
        next_offset = meta.get("next_offset")
        if next_offset is None:
            break

        # Duo returns next_offset as int
        try:
            offset = int(next_offset)
        except Exception:
            break

    return {"resource": resource, "pages": page, "objects": total_items}

def lambda_handler(event=None, context=None):
    results = []
    for res in RESOURCES:
        results.append(_fetch_resource(res))
    return {"ok": True, "results": results}

if __name__ == "__main__":
    print(lambda_handler())

  5. Ve a Configuración > Variables de entorno > Editar > Añadir nueva variable de entorno.

  6. Introduce las siguientes variables de entorno y sustituye los valores por los tuyos.

    Clave Ejemplo
    S3_BUCKET duo-context
    S3_PREFIX duo/context/
    DUO_IKEY DIXYZ...
    DUO_SKEY ****************
    DUO_API_HOSTNAME api-XXXXXXXX.duosecurity.com
    LIMIT 200
    RESOURCES users,groups,phones,endpoints,tokens,webauthncredentials

  7. Una vez creada la función, permanece en su página (o abre Lambda > Funciones > tu-función).

  8. Seleccione la pestaña Configuración.

  9. En el panel Configuración general, haz clic en Editar.

  10. Cambia Tiempo de espera a 5 minutos (300 segundos) y haz clic en Guardar.

Crear una programación de EventBridge

  1. Ve a Amazon EventBridge > Scheduler > Create schedule (Amazon EventBridge > Programador > Crear programación).
  2. Proporcione los siguientes detalles de configuración:
    • Programación periódica: Precio (1 hour).
    • Destino: tu función Lambda.
    • Nombre: duo-entity-context-1h.
  3. Haz clic en Crear programación.

Opcional: Crear un usuario y claves de gestión de identidades y accesos de solo lectura para Google SecOps

  1. En la consola de AWS, vaya a IAM > Usuarios y, a continuación, haga clic en Añadir usuarios.
  2. Proporcione los siguientes detalles de configuración:
    • Usuario: introduce un nombre único (por ejemplo, secops-reader).
    • Tipo de acceso: selecciona Clave de acceso - Acceso programático.
    • Haz clic en Crear usuario.
  3. Asigna una política de lectura mínima (personalizada): Usuarios > selecciona secops-reader > Permisos > Añadir permisos > Asignar políticas directamente > Crear política.

  4. En el editor de JSON, introduce la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::<your-bucket>/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::<your-bucket>"
    }
  ]
}

  5. Asigna el nombre secops-reader-policy.

  6. Ve a Crear política > busca o selecciona > Siguiente > Añadir permisos.

  7. Ve a Credenciales de seguridad > Claves de acceso > Crear clave de acceso.

  8. Descarga el archivo CSV (estos valores se introducen en el feed).

Configurar un feed en Google SecOps para ingerir datos de contexto de entidad de Duo

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en + Añadir nuevo feed.
  3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Duo Entity Context).
  4. Selecciona Amazon S3 V2 como Tipo de fuente.
  5. Seleccione Datos de contexto de entidad de Duo como Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifique los valores de los siguientes parámetros de entrada:
    • URI de S3: s3://duo-context/duo/context/
    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
    • Antigüedad máxima de los archivos: 180 días de forma predeterminada.
    • ID de clave de acceso: clave de acceso de usuario con acceso al bucket de S3.
    • Clave de acceso secreta: clave secreta del usuario con acceso al bucket de S3.
    • Espacio de nombres de recursos: el espacio de nombres de recursos.
    • Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
activado entity.asset.deployment_status Si "activated" es false, se le asigna el valor "DECOMISSIONED". De lo contrario, se le asigna el valor "ACTIVE".
browsers.browser_family entity.asset.software.name Se extrae de la matriz "browsers" del registro sin procesar.
browsers.browser_version entity.asset.software.version Se extrae de la matriz "browsers" del registro sin procesar.
device_name entity.asset.hostname Se asigna directamente desde el registro sin procesar.
disk_encryption_status entity.asset.attribute.labels.key: "disk_encryption_status", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte a minúsculas.
correo electrónico entity.user.email_addresses Se asigna directamente desde el registro sin procesar si contiene "@". De lo contrario, se usa "username" o "username1" si contienen "@".
cifrado entity.asset.attribute.labels.key: "Encrypted", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte a minúsculas.
epkey entity.asset.product_object_id Se usa como "product_object_id" si está presente. De lo contrario, se usa "phone_id" o "token_id".
huella digital entity.asset.attribute.labels.key: "Huella digital", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte a minúsculas.
firewall_status entity.asset.attribute.labels.key: "firewall_status", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte a minúsculas.
hardware_uuid entity.asset.asset_id Se usa como "asset_id" si está presente. De lo contrario, se usa "user_id".
last_seen entity.asset.last_discover_time Se analiza como una marca de tiempo ISO8601 y se asigna.
modelo entity.asset.hardware.model Se asigna directamente desde el registro sin procesar.
número entity.user.phone_numbers Se asigna directamente desde el registro sin procesar.
os_family entity.asset.platform_software.platform Se asigna a "WINDOWS", "LINUX" o "MAC" en función del valor, sin distinguir entre mayúsculas y minúsculas.
os_version entity.asset.platform_software.platform_version Se asigna directamente desde el registro sin procesar.
password_status entity.asset.attribute.labels.key: "password_status", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte a minúsculas.
phone_id entity.asset.product_object_id Se usa como "product_object_id" si no se incluye "epkey". De lo contrario, se usa "token_id".
security_agents.security_agent entity.asset.software.name Extraído de la matriz "security_agents" del registro sin procesar.
security_agents.version entity.asset.software.version Extraído de la matriz "security_agents" del registro sin procesar.
timestamp entity.metadata.collected_timestamp Rellena el campo "collected_timestamp" del objeto "metadata".
token_id entity.asset.product_object_id Se usa como "product_object_id" si no se incluyen "epkey" ni "phone_id".
trusted_endpoint entity.asset.attribute.labels.key: "trusted_endpoint", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte a minúsculas.
tipo entity.asset.type Si el "type" del registro sin procesar contiene "mobile" (sin distinguir entre mayúsculas y minúsculas), asigna el valor "MOBILE". De lo contrario, asigna el valor "LAPTOP".
user_id entity.asset.asset_id Se usa como "asset_id" si no se incluye "hardware_uuid".
users.email entity.user.email_addresses Se usa como "email_addresses" si es el primer usuario de la matriz "users" y contiene "@".
users.username entity.user.userid Nombre de usuario extraído antes de "@" y usado como "userid" si es el primer usuario de la matriz "users".
entity.metadata.vendor_name "Duo"
entity.metadata.product_name "Datos de contexto de entidad de Duo"
entity.metadata.entity_type RECURSO
entity.relations.entity_type USUARIO
entity.relations.relationship OWNS

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.