Recopila registros de contexto de entidades de Duo

Se admite en los siguientes sistemas operativos:

Google SecOps SIEM

En este documento, se explica cómo transferir datos de contexto de entidades de Duo a Google Security Operations con Google Cloud Storage. El analizador transforma los registros JSON en un modelo de datos unificado (UDM). Para ello, primero extrae los campos del JSON sin procesar y, luego, asigna esos campos a los atributos del UDM. Maneja diversas situaciones de datos, incluida la información de usuarios y activos, los detalles del software y las etiquetas de seguridad, lo que garantiza una representación integral dentro del esquema del UDM.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Acceso con privilegios al arrendatario de Duo (aplicación de la API de Admin con privilegios administrativos suficientes para administrar aplicaciones)
Un proyecto de GCP con la API de Cloud Storage habilitada
Permisos para crear y administrar buckets de GCS
Permisos para administrar políticas de IAM en buckets de GCS
Permisos para crear servicios de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler

Configura la aplicación de la API de Duo Admin

Accede al Panel de administración de Duo.
Ve a Aplicaciones > Proteger una aplicación.
Busca Admin API y haz clic en Proteger.
Registra los siguientes valores:
- Clave de integración (ikey)
- Clave secreta (skey)
- Nombre de host de la API (por ejemplo, api-XXXXXXXX.duosecurity.com)
En Permissions, habilita Grant resource - Read (para leer usuarios, grupos, teléfonos, endpoints, tokens y credenciales de WebAuthn).
Haz clic en Guardar.

Nota: Debes tener privilegios administrativos suficientes (por ejemplo, Propietario o un rol equivalente que permita administrar aplicaciones) en Duo para crear o modificar aplicaciones de la API de Admin.

Crea un bucket de Google Cloud Storage

Ve a Google Cloud Console.
Selecciona tu proyecto o crea uno nuevo.
En el menú de navegación, ve a Cloud Storage > Buckets.
Haz clic en Crear bucket.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Asigna un nombre a tu bucket	Ingresa un nombre global único (por ejemplo, `duo-context`).
Tipo de ubicación	Elige según tus necesidades (región, birregional, multirregional)
Ubicación	Selecciona la ubicación (por ejemplo, `us-central1`).
Clase de almacenamiento	Estándar (recomendado para los registros a los que se accede con frecuencia)
Control de acceso	Uniforme (recomendado)
Herramientas de protección	Opcional: Habilita el control de versiones de objetos o la política de retención

Haz clic en Crear.
Guarda el nombre y la región del bucket para futuras referencias.

Crea una cuenta de servicio para la Cloud Run Function

La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS y ser invocada por Pub/Sub.

Crear cuenta de servicio

En GCP Console, ve a IAM y administración > Cuentas de servicio.
Haz clic en Crear cuenta de servicio.
Proporciona los siguientes detalles de configuración:
- Nombre de la cuenta de servicio: Ingresa duo-entity-context-sa.
- Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect Duo entity context data.
Haz clic en Crear y continuar.
En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
1. Haz clic en Selecciona un rol.
2. Busca y selecciona Administrador de objetos de almacenamiento.
3. Haz clic en + Agregar otra función.
4. Busca y selecciona Invocador de Cloud Run.
5. Haz clic en + Agregar otra función.
6. Busca y selecciona Cloud Functions Invoker.
Haz clic en Continuar.
Haz clic en Listo.

Estos roles son necesarios para las siguientes acciones:

Administrador de objetos de Storage: Escribe registros en el bucket de GCS
Invocador de Cloud Run: Permite que Pub/Sub invoque la función
Cloud Functions Invoker: Permite la invocación de funciones

Otorga permisos de IAM en el bucket de GCS

Otorga permisos de escritura a la cuenta de servicio en el bucket de GCS:

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket.
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo, duo-entity-context-sa@PROJECT_ID.iam.gserviceaccount.com).
- Asignar roles: Selecciona Administrador de objetos de Storage.
Haz clic en Guardar.

Crear tema de Pub/Sub

Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.

En GCP Console, ve a Pub/Sub > Temas.
Haz clic en Crear un tema.
Proporciona los siguientes detalles de configuración:
- ID del tema: Ingresa duo-entity-context-trigger.
- Deja el resto de la configuración con sus valores predeterminados.
Haz clic en Crear.

Crea una función de Cloud Run para recopilar datos de contexto de la entidad

La función de Cloud Run se activa con mensajes de Pub/Sub de Cloud Scheduler para recuperar datos de contexto de entidades de la API de Duo Admin y escribirlos en GCS.

En GCP Console, ve a Cloud Run.
Haz clic en Crear servicio.
Selecciona Función (usa un editor intercalado para crear una función).

En la sección Configurar, proporciona los siguientes detalles de configuración:

Configuración	Valor
Nombre del servicio	`duo-entity-context-collector`
Región	Selecciona la región que coincida con tu bucket de GCS (por ejemplo, `us-central1`).
Tiempo de ejecución	Selecciona Python 3.12 o una versión posterior.

En la sección Activador (opcional), haz lo siguiente:
1. Haz clic en + Agregar activador.
2. Selecciona Cloud Pub/Sub.
3. En Selecciona un tema de Cloud Pub/Sub, elige el tema de Pub/Sub (duo-entity-context-trigger).
4. Haz clic en Guardar.
En la sección Autenticación, haz lo siguiente:
1. Selecciona Solicitar autenticación.
2. Verifica Identity and Access Management (IAM).
Nota: Pub/Sub controla automáticamente la autenticación cuando invoca la función.
Desplázate hacia abajo y expande Contenedores, redes y seguridad.
Ve a la pestaña Seguridad:
- Cuenta de servicio: Selecciona la cuenta de servicio (duo-entity-context-sa).

Ve a la pestaña Contenedores:

Haz clic en Variables y secretos.
Haz clic en + Agregar variable para cada variable de entorno:

Nombre de la variable	Valor de ejemplo
`GCS_BUCKET`	`duo-context`
`GCS_PREFIX`	`duo/context/`
`DUO_IKEY`	`DIXYZ...`
`DUO_SKEY`	`****************`
`DUO_API_HOSTNAME`	`api-XXXXXXXX.duosecurity.com`
`LIMIT`	`100`
`RESOURCES`	`users,groups,phones,endpoints,tokens,webauthncredentials`

En la sección Variables y Secrets, desplázate hasta Requests:
- Tiempo de espera de la solicitud: Ingresa 600 segundos (10 minutos).
Ve a la pestaña Configuración en Contenedores:
- En la sección Recursos, haz lo siguiente:
  - Memoria: Selecciona 512 MiB o más.
  - CPU: Selecciona 1.
- Haz clic en Listo.
Desplázate hasta Entorno de ejecución:
- Selecciona Predeterminado (recomendado).
En la sección Ajuste de escala de revisión, haz lo siguiente:
- Cantidad mínima de instancias: Ingresa 0.
- Cantidad máxima de instancias: Ingresa 100 (o ajusta según la carga esperada).
Haz clic en Crear.
Espera a que se cree el servicio (de 1 a 2 minutos).
Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Agregar el código de función

Ingresa main en Punto de entrada de la función.

En el editor de código intercalado, crea dos archivos:

Primer archivo: main.py:

import functions_framework
from google.cloud import storage
import json
import os
import time
import hmac
import hashlib
import base64
import email.utils
import urllib.parse
from urllib.request import Request, urlopen

# Environment variables
DUO_IKEY = os.environ["DUO_IKEY"]
DUO_SKEY = os.environ["DUO_SKEY"]
DUO_API_HOSTNAME = os.environ["DUO_API_HOSTNAME"].strip()
GCS_BUCKET = os.environ["GCS_BUCKET"]
GCS_PREFIX = os.environ.get("GCS_PREFIX", "duo/context/")

# Default resources can be adjusted via ENV
RESOURCES = [r.strip() for r in os.environ.get("RESOURCES", "users,groups,phones,endpoints,tokens,webauthncredentials,desktop_authenticators").split(",") if r.strip()]

# Duo paging: default 100; max varies by endpoint
LIMIT = int(os.environ.get("LIMIT", "100"))

# Initialize Storage client
storage_client = storage.Client()

def _canon_params(params: dict) -> str:
    """RFC3986 encoding with '~' unescaped, keys sorted lexicographically."""
    if not params:
        return ""
    parts = []
    for k in sorted(params.keys()):
        v = params[k]
        if v is None:
            continue
        ks = urllib.parse.quote(str(k), safe="~")
        vs = urllib.parse.quote(str(v), safe="~")
        parts.append(f"{ks}={vs}")
    return "&".join(parts)

def _sign(method: str, host: str, path: str, params: dict) -> dict:
    """Construct Duo Admin API Authorization + Date headers (HMAC-SHA1)."""
    now = email.utils.formatdate()
    canon = "\n".join([
        now,
        method.upper(),
        host.lower(),
        path,
        _canon_params(params)
    ])
    sig = hmac.new(
        DUO_SKEY.encode("utf-8"),
        canon.encode("utf-8"),
        hashlib.sha1
    ).hexdigest()
    auth = base64.b64encode(f"{DUO_IKEY}:{sig}".encode("utf-8")).decode("utf-8")
    return {
        "Date": now,
        "Authorization": f"Basic {auth}"
    }

def _call(method: str, path: str, params: dict) -> dict:
    host = DUO_API_HOSTNAME
    assert host.startswith("api-") and host.endswith(".duosecurity.com"), \
        "DUO_API_HOSTNAME must be e.g. api-XXXXXXXX.duosecurity.com"

    qs = _canon_params(params)
    url = f"https://{host}{path}" + (f"?{qs}" if method.upper() == "GET" and qs else "")

    req = Request(url, method=method.upper())
    for k, v in _sign(method, host, path, params).items():
        req.add_header(k, v)

    with urlopen(req, timeout=60) as r:
        return json.loads(r.read().decode("utf-8"))

def _write_json(obj: dict, when: float, resource: str, page: int) -> str:
    bucket = storage_client.bucket(GCS_BUCKET)
    prefix = GCS_PREFIX.strip("/") + "/" if GCS_PREFIX else ""
    key = f"{prefix}{time.strftime('%Y/%m/%d', time.gmtime(when))}/duo-{resource}-{page:05d}.json"

    blob = bucket.blob(key)
    blob.upload_from_string(
        json.dumps(obj, separators=(",", ":")),
        content_type="application/json"
    )
    return key

def _fetch_resource(resource: str) -> dict:
    """Fetch all pages for a list endpoint using limit/offset + metadata.next_offset."""
    path = f"/admin/v1/{resource}"
    offset = 0
    page = 0
    now = time.time()
    total_items = 0

    while True:
        params = {"limit": LIMIT, "offset": offset}
        data = _call("GET", path, params)
        _write_json(data, now, resource, page)
        page += 1

        resp = data.get("response")
        # most endpoints return a list; if not a list, count as 1 object page
        if isinstance(resp, list):
            total_items += len(resp)
        elif resp is not None:
            total_items += 1

        meta = data.get("metadata") or {}
        next_offset = meta.get("next_offset")
        if next_offset is None:
            break

        # Duo returns next_offset as int
        try:
            offset = int(next_offset)
        except Exception:
            break

    return {
        "resource": resource,
        "pages": page,
        "objects": total_items
    }

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Duo entity context data and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """
    results = []
    for res in RESOURCES:
        print(f"Fetching resource: {res}")
        result = _fetch_resource(res)
        results.append(result)
        print(f"Completed {res}: {result['pages']} pages, {result['objects']} objects")

    print(f"All resources fetched successfully: {results}")

Segundo archivo: requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*

Haz clic en Implementar para guardar y, luego, implementar la función.
Espera a que se complete la implementación (de 2 a 3 minutos).

Nota: La configuración del activador de Pub/Sub crea automáticamente las suscripciones y los permisos necesarios.
Nota: Los diferentes extremos de la API de Admin tienen diferentes valores de límite máximo. Si se usa un valor más alto que el admitido para un extremo determinado, se generará un error 400. El valor predeterminado de 100 es seguro para todos los extremos.

Crea un trabajo de Cloud Scheduler

Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.

En GCP Console, ve a Cloud Scheduler.
Haz clic en Crear trabajo.

Proporciona los siguientes detalles de configuración:

Configuración	Valor
Nombre	`duo-entity-context-hourly`
Región	Selecciona la misma región que la función de Cloud Run
Frecuencia	`0 * * * *` (cada hora, en punto)
Zona horaria	Selecciona la zona horaria (se recomienda UTC)
Tipo de orientación	Pub/Sub
Tema	Selecciona el tema de Pub/Sub (`duo-entity-context-trigger`).
Cuerpo del mensaje	`{}` (objeto JSON vacío)

Haz clic en Crear.

Opciones de frecuencia de programación

Elige la frecuencia según los requisitos de actualización de los datos:

Frecuencia	Expresión cron	Caso de uso
Cada 1 hora	`0 * * * *`	Estándar (opción recomendada)
Cada 2 horas	`0 /2 * *`	Actualización moderada
Cada 6 horas	`0 /6 * *`	Actualizaciones con baja frecuencia
Diario	`0 0 * * *`	Actualizaciones mínimas

Prueba el trabajo de Scheduler

En la consola de Cloud Scheduler, busca tu trabajo (duo-entity-context-hourly).
Haz clic en Forzar ejecución para activarlo de forma manual.
Espera unos segundos y ve a Cloud Run > Servicios > duo-entity-context-collector > Registros.
Verifica que la función se haya ejecutado correctamente.
Verifica el bucket de GCS para confirmar que se escribieron los datos del contexto de la entidad.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Obtén el correo electrónico de la cuenta de servicio

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Duo Entity Context).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona Duo Entity context data como el Tipo de registro.
Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia esta dirección de correo electrónico para usarla en el siguiente paso.

Nota: Cada instancia de Google SecOps tiene una cuenta de servicio única. No uses cuentas de servicio de otros ejemplos o documentación.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

Ve a Cloud Storage > Buckets.
Haz clic en el nombre de tu bucket.
Ve a la pestaña Permisos.
Haz clic en Otorgar acceso.
Proporciona los siguientes detalles de configuración:
- Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
- Asignar roles: Selecciona Visualizador de objetos de Storage.
Haz clic en Guardar.

Nota: Si planeas usar la opción de eliminación "Borrar archivos transferidos" o "Borrar archivos transferidos y directorios vacíos", otorga el rol de Administrador de objetos de Storage en lugar del rol de Visualizador de objetos de Storage.

Configura un feed en Google SecOps para transferir datos del contexto de la entidad de Duo

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
Haz clic en Configura un feed único.
En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Duo Entity Context).
Selecciona Google Cloud Storage V2 como el Tipo de fuente.
Selecciona Duo Entity context data como el Tipo de registro.
Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:
```
gs://duo-context/duo/context/
```
  - Reemplaza lo siguiente:
    - duo-context: Es el nombre de tu bucket de GCS.
    - duo/context/: Prefijo o ruta de acceso de la carpeta en la que se almacenan los registros (debe coincidir con la variable de entorno GCS_PREFIX).
  Nota: Siempre incluye la barra diagonal final (/) al final del URI.
- Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:
  - Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
  - Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.
  - Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.
    
    Nota: Si seleccionas una opción de eliminación, la cuenta de servicio debe tener el rol de administrador de objetos de Storage en lugar del rol de visualizador de objetos de Storage. Actualiza los permisos de IAM según corresponda.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
Activado	entity.asset.deployment_status	Si "activated" es falso, se establece en "DECOMISSIONED"; de lo contrario, se establece en "ACTIVE".
browsers.browser_family	entity.asset.software.name	Se extrae del array "browsers" en el registro sin procesar.
browsers.browser_version	entity.asset.software.version	Se extrae del array "browsers" en el registro sin procesar.
device_name	entity.asset.hostname	Se asigna directamente desde el registro sin procesar.
disk_encryption_status	entity.asset.attribute.labels.key: "disk_encryption_status", entity.asset.attribute.labels.value	Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
correo electrónico	entity.user.email_addresses	Se asigna directamente desde el registro sin procesar si contiene "@". De lo contrario, se usa "username" o "username1" si contienen "@".
encriptado	entity.asset.attribute.labels.key: "Encrypted", entity.asset.attribute.labels.value	Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
epkey	entity.asset.product_object_id	Se usa como "product_object_id" si está presente; de lo contrario, se usa "phone_id" o "token_id".
huella dactilar	entity.asset.attribute.labels.key: "Huella dactilar", entity.asset.attribute.labels.value	Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
firewall_status	entity.asset.attribute.labels.key: "firewall_status", entity.asset.attribute.labels.value	Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
hardware_uuid	entity.asset.asset_id	Se usa como "asset_id" si está presente; de lo contrario, se usa "user_id".
last_seen	entity.asset.last_discover_time	Se analiza como una marca de tiempo ISO8601 y se asigna.
modelo	entity.asset.hardware.model	Se asigna directamente desde el registro sin procesar.
número	entity.user.phone_numbers	Se asigna directamente desde el registro sin procesar.
os_family	entity.asset.platform_software.platform	Se asigna a "WINDOWS", "LINUX" o "MAC" según el valor, sin distinguir mayúsculas de minúsculas.
versión_so	entity.asset.platform_software.platform_version	Se asigna directamente desde el registro sin procesar.
password_status	entity.asset.attribute.labels.key: "password_status", entity.asset.attribute.labels.value	Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
phone_id	entity.asset.product_object_id	Se usa como "product_object_id" si no está presente "epkey"; de lo contrario, se usa "token_id".
security_agents.security_agent	entity.asset.software.name	Se extrae del array "security_agents" en el registro sin procesar.
security_agents.version	entity.asset.software.version	Se extrae del array "security_agents" en el registro sin procesar.
timestamp	entity.metadata.collected_timestamp	Propaga el campo "collected_timestamp" dentro del objeto "metadata".
token_id	entity.asset.product_object_id	Se usa como "product_object_id" si no están presentes "epkey" ni "phone_id".
trusted_endpoint	entity.asset.attribute.labels.key: "trusted_endpoint", entity.asset.attribute.labels.value	Se asigna directamente desde el registro sin procesar y se convierte en minúsculas.
tipo	entity.asset.type	Si el "tipo" del registro sin procesar contiene "mobile" (sin distinguir mayúsculas de minúsculas), se establece en "MOBILE"; de lo contrario, se establece en "LAPTOP".
user_id	entity.asset.asset_id	Se usa como "asset_id" si no está presente "hardware_uuid".
users.email	entity.user.email_addresses	Se usa como "email_addresses" si es el primer usuario del array "users" y contiene "@".
users.username	entity.user.userid	Nombre de usuario extraído antes de "@" y usado como "userid" si es el primer usuario en el array "users".
	entity.metadata.vendor_name	"Duo"
	entity.metadata.product_name	"Datos de contexto de la entidad de Duo"
	entity.metadata.entity_type	ACTIVO
	entity.relations.entity_type	USUARIO
	entity.relations.relationship	OWNS

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.