Recopila registros de contexto de entidades de Duo

Compatible con:

En este documento, se explica cómo transferir datos de contexto de entidades de Duo a Google Security Operations con Amazon S3. El analizador transforma los registros JSON en un modelo de datos unificado (UDM). Para ello, primero extrae los campos del JSON sin procesar y, luego, asigna esos campos a los atributos del UDM. Maneja diversas situaciones de datos, incluida la información de usuarios y activos, los detalles del software y las etiquetas de seguridad, lo que garantiza una representación integral dentro del esquema del UDM.

Antes de comenzar

  • Instancia de Google SecOps
  • Acceso privilegiado al arrendatario de Duo (aplicación de la API de Admin)
  • Acceso con privilegios a AWS (S3, IAM, Lambda, EventBridge)

Configura la aplicación de la API de Duo Admin

  1. Accede al Panel de administración de Duo.
  2. Ve a Aplicaciones > Catálogo de aplicaciones.
  3. Agrega la aplicación de la API de Admin.
  4. Registra los siguientes valores:
    • Clave de integración (ikey)
    • Clave secreta (skey)
    • Nombre de host de la API (por ejemplo, api-XXXXXXXX.duosecurity.com)
  5. En Permissions, habilita Grant resource – Read (para leer usuarios, grupos, dispositivos o extremos).
  6. Guarda la aplicación.

Configura el bucket de AWS S3 y el IAM para Google SecOps

  1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Crea un bucket
  2. Guarda el Nombre y la Región del bucket para futuras referencias (por ejemplo, duo-context).
  3. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
  4. Selecciona el usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. Haz clic en Crear clave de acceso en la sección Claves de acceso.
  7. Selecciona Servicio de terceros como el Caso de uso.
  8. Haz clic en Siguiente.
  9. Opcional: Agrega una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. Haz clic en Agregar permisos en la sección Políticas de permisos.
  15. Selecciona Agregar permisos.
  16. Selecciona Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Agregar permisos.

Configura la política y el rol de IAM para las cargas de S3

  1. Ve a la consola de AWS > IAM > Políticas > Crear política > pestaña JSON.

  2. Ingresa la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutDuoObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::duo-context/*"
    }
  ]
}
    • Reemplaza duo-context si ingresaste un nombre de bucket diferente:

  3. Haz clic en Siguiente > Crear política.

  4. Ve a IAM > Roles > Crear rol > Servicio de AWS > Lambda.

  5. Adjunta la política recién creada.

  6. Asigna el nombre WriteDuoToS3Role al rol y haz clic en Crear rol.

Crea la función Lambda

  1. En la consola de AWS, ve a Lambda > Functions > Create function.
  2. Haz clic en Crear desde cero.

  3. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Nombre duo_entity_context_to_s3
    Tiempo de ejecución Python 3.13
    Arquitectura x86_64
    Rol de ejecución WriteDuoToS3Role

  4. Después de crear la función, abre la pestaña Code, borra el código auxiliar y, luego, ingresa el siguiente código (duo_entity_context_to_s3.py):

    #!/usr/bin/env python3

import os, json, time, hmac, hashlib, base64, email.utils, urllib.parse
from urllib.request import Request, urlopen
import boto3

# Env
DUO_IKEY = os.environ["DUO_IKEY"]
DUO_SKEY = os.environ["DUO_SKEY"]
DUO_API_HOSTNAME = os.environ["DUO_API_HOSTNAME"].strip()
S3_BUCKET = os.environ["S3_BUCKET"]
S3_PREFIX = os.environ.get("S3_PREFIX", "duo/context/")
# Default set can be adjusted via ENV
RESOURCES = [r.strip() for r in os.environ.get(
    "RESOURCES",
    "users,groups,phones,endpoints,tokens,webauthncredentials,desktop_authenticators"
).split(",") if r.strip()]
# Duo paging: default 100; max 500 for these endpoints
LIMIT = int(os.environ.get("LIMIT", "500"))

s3 = boto3.client("s3")

def _canon_params(params: dict) -> str:
    """RFC3986 encoding with '~' unescaped, keys sorted lexicographically."""
    if not params:
        return ""
    parts = []
    for k in sorted(params.keys()):
        v = params[k]
        if v is None:
            continue
        ks = urllib.parse.quote(str(k), safe="~")
        vs = urllib.parse.quote(str(v), safe="~")
        parts.append(f"{ks}={vs}")
    return "&".join(parts)

def _sign(method: str, host: str, path: str, params: dict) -> dict:
    """Construct Duo Admin API Authorization + Date headers (HMAC-SHA1)."""
    now = email.utils.formatdate()
    canon = "\n".join([now, method.upper(), host.lower(), path, _canon_params(params)])
    sig = hmac.new(DUO_SKEY.encode("utf-8"), canon.encode("utf-8"), hashlib.sha1).hexdigest()
    auth = base64.b64encode(f"{DUO_IKEY}:{sig}".encode("utf-8")).decode("utf-8")
    return {"Date": now, "Authorization": f"Basic {auth}"}

def _call(method: str, path: str, params: dict) -> dict:
    host = DUO_API_HOSTNAME
    assert host.startswith("api-") and host.endswith(".duosecurity.com"), \
        "DUO_API_HOSTNAME must be e.g. api-XXXXXXXX.duosecurity.com"
    qs = _canon_params(params)
    url = f"https://{host}{path}" + (f"?{qs}" if method.upper() == "GET" and qs else "")
    req = Request(url, method=method.upper())
    for k, v in _sign(method, host, path, params).items():
        req.add_header(k, v)
    with urlopen(req, timeout=60) as r:
        return json.loads(r.read().decode("utf-8"))

def _write_json(obj: dict, when: float, resource: str, page: int) -> str:
    prefix = S3_PREFIX.strip("/") + "/" if S3_PREFIX else ""
    key = f"{prefix}{time.strftime('%Y/%m/%d', time.gmtime(when))}/duo-{resource}-{page:05d}.json"
    s3.put_object(Bucket=S3_BUCKET, Key=key, Body=json.dumps(obj, separators=(",", ":")).encode("utf-8"))
    return key

def _fetch_resource(resource: str) -> dict:
    """Fetch all pages for a list endpoint using limit/offset + metadata.next_offset."""
    path = f"/admin/v1/{resource}"
    offset = 0
    page = 0
    now = time.time()
    total_items = 0

    while True:
        params = {"limit": LIMIT, "offset": offset}
        data = _call("GET", path, params)
        _write_json(data, now, resource, page)
        page += 1

        resp = data.get("response")
        # most endpoints return a list; if not a list, count as 1 object page
        if isinstance(resp, list):
            total_items += len(resp)
        elif resp is not None:
            total_items += 1

        meta = data.get("metadata") or {}
        next_offset = meta.get("next_offset")
        if next_offset is None:
            break

        # Duo returns next_offset as int
        try:
            offset = int(next_offset)
        except Exception:
            break

    return {"resource": resource, "pages": page, "objects": total_items}

def lambda_handler(event=None, context=None):
    results = []
    for res in RESOURCES:
        results.append(_fetch_resource(res))
    return {"ok": True, "results": results}

if __name__ == "__main__":
    print(lambda_handler())

  5. Ve a Configuración > Variables de entorno > Editar > Agregar nueva variable de entorno.

  6. Ingresa las siguientes variables de entorno y reemplaza los valores por los tuyos.

    Clave Ejemplo
    S3_BUCKET duo-context
    S3_PREFIX duo/context/
    DUO_IKEY DIXYZ...
    DUO_SKEY ****************
    DUO_API_HOSTNAME api-XXXXXXXX.duosecurity.com
    LIMIT 200
    RESOURCES users,groups,phones,endpoints,tokens,webauthncredentials

  7. Después de crear la función, permanece en su página (o abre Lambda > Functions > tu-función).

  8. Selecciona la pestaña Configuración.

  9. En el panel Configuración general, haz clic en Editar.

  10. Cambia Tiempo de espera a 5 minutos (300 segundos) y haz clic en Guardar.

Crea una programación de EventBridge

  1. Ve a Amazon EventBridge > Scheduler > Create schedule.
  2. Proporciona los siguientes detalles de configuración:
    • Programación recurrente: Frecuencia (1 hour).
    • Destino: Tu función Lambda.
    • Nombre: duo-entity-context-1h.
  3. Haz clic en Crear programación.

Opcional: Crea un usuario y claves de IAM de solo lectura para Google SecOps

  1. En la consola de AWS, ve a IAM > Usuarios y, luego, haz clic en Agregar usuarios.
  2. Proporciona los siguientes detalles de configuración:
    • Usuario: Ingresa un nombre único (por ejemplo, secops-reader).
    • Tipo de acceso: Selecciona Clave de acceso: Acceso programático.
    • Haz clic en Crear usuario.
  3. Adjunta una política de lectura mínima (personalizada): Usuarios > selecciona secops-reader > Permisos > Agregar permisos > Adjuntar políticas directamente > Crear política

  4. En el editor de JSON, ingresa la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::<your-bucket>/*"
    },
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": "arn:aws:s3:::<your-bucket>"
    }
  ]
}

  5. Configura el nombre como secops-reader-policy.

  6. Ve a Crear política > busca o selecciona > Siguiente > Agregar permisos.

  7. Ve a Credenciales de seguridad > Claves de acceso > Crear clave de acceso.

  8. Descarga el archivo CSV (estos valores se ingresan en el feed).

Configura un feed en Google SecOps para transferir datos de contexto de entidades de Duo

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en + Agregar feed nuevo.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Duo Entity Context).
  4. Selecciona Amazon S3 V2 como el Tipo de fuente.
  5. Selecciona Datos de contexto de la entidad de Duo como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifica valores para los siguientes parámetros de entrada:
    • URI de S3: s3://duo-context/duo/context/
    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
    • Antigüedad máxima del archivo: 180 días de forma predeterminada
    • ID de clave de acceso: Clave de acceso del usuario con acceso al bucket de S3.
    • Clave de acceso secreta: Clave secreta del usuario con acceso al bucket de S3.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
activado entity.asset.deployment_status Si "activated" es falso, se establece en "DECOMISSIONED"; de lo contrario, se establece en "ACTIVE".
browsers.browser_family entity.asset.software.name Se extrae del array "browsers" en el registro sin procesar.
browsers.browser_version entity.asset.software.version Se extrae del array "browsers" en el registro sin procesar.
device_name entity.asset.hostname Se asigna directamente desde el registro sin procesar.
disk_encryption_status entity.asset.attribute.labels.key: "disk_encryption_status", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
correo electrónico entity.user.email_addresses Se asigna directamente desde el registro sin procesar si contiene "@". De lo contrario, se usa "username" o "username1" si contienen "@".
encriptado entity.asset.attribute.labels.key: "Encrypted", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
epkey entity.asset.product_object_id Se usa como "product_object_id" si está presente; de lo contrario, se usa "phone_id" o "token_id".
Fingerprint entity.asset.attribute.labels.key: "Finger Print", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
firewall_status entity.asset.attribute.labels.key: "firewall_status", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
hardware_uuid entity.asset.asset_id Se usa como "asset_id" si está presente; de lo contrario, se usa "user_id".
last_seen entity.asset.last_discover_time Se analiza como una marca de tiempo ISO8601 y se asigna.
modelo entity.asset.hardware.model Se asigna directamente desde el registro sin procesar.
número entity.user.phone_numbers Se asigna directamente desde el registro sin procesar.
os_family entity.asset.platform_software.platform Se asigna a "WINDOWS", "LINUX" o "MAC" según el valor, sin distinguir mayúsculas de minúsculas.
os_version entity.asset.platform_software.platform_version Se asigna directamente desde el registro sin procesar.
password_status entity.asset.attribute.labels.key: "password_status", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
phone_id entity.asset.product_object_id Se usa como "product_object_id" si no está presente "epkey"; de lo contrario, se usa "token_id".
security_agents.security_agent entity.asset.software.name Se extrae del array "security_agents" en el registro sin procesar.
security_agents.version entity.asset.software.version Se extrae del array "security_agents" en el registro sin procesar.
timestamp entity.metadata.collected_timestamp Propaga el campo "collected_timestamp" dentro del objeto "metadata".
token_id entity.asset.product_object_id Se usa como "product_object_id" si no están presentes "epkey" ni "phone_id".
trusted_endpoint entity.asset.attribute.labels.key: "trusted_endpoint", entity.asset.attribute.labels.value: Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
tipo entity.asset.type Si el "tipo" del registro sin procesar contiene "mobile" (sin distinguir mayúsculas de minúsculas), se establece en "MOBILE"; de lo contrario, se establece en "LAPTOP".
user_id entity.asset.asset_id Se usa como "asset_id" si no está presente "hardware_uuid".
users.email entity.user.email_addresses Se usa como "email_addresses" si es el primer usuario del array "users" y contiene "@".
users.username entity.user.userid Nombre de usuario extraído antes de "@" y usado como "userid" si es el primer usuario en el array "users".
entity.metadata.vendor_name "Duo"
entity.metadata.product_name "Datos de contexto de la entidad de Duo"
entity.metadata.entity_type ACTIVO
entity.relations.entity_type USUARIO
entity.relations.relationship OWNS

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.