Recopila registros de telefonía de Duo

Se admite en los siguientes sistemas operativos:

En este documento, se explica cómo transferir registros de Duo Telephony a Google Security Operations con Google Cloud Storage. El analizador extrae campos de los registros, los transforma y los asigna al modelo de datos unificado (UDM). Maneja varios formatos de registro de Duo, convierte marcas de tiempo, extrae información del usuario, detalles de la red y resultados de seguridad, y, finalmente, estructura el resultado en el formato UDM estandarizado.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Una instancia de Google SecOps
  • Un proyecto de GCP con la API de Cloud Storage habilitada
  • Permisos para crear y administrar buckets de GCS
  • Permisos para administrar políticas de IAM en buckets de GCS
  • Permisos para crear servicios de Cloud Run, temas de Pub/Sub y trabajos de Cloud Scheduler
  • Acceso con privilegios al panel de administración de Duo con el rol de propietario

Recopila los requisitos previos de Duo (credenciales de API)

  1. Accede al panel de administración de Duo como administrador con el rol de propietario.
  2. Ve a Aplicaciones > Catálogo de aplicaciones.
  3. Ubica la entrada de la API de Admin en el catálogo.
  4. Haz clic en + Agregar para crear la aplicación.
  5. Copia y guarda en una ubicación segura los siguientes detalles:
    • Clave de integración
    • Clave de secreto
    • Nombre de host de la API (por ejemplo, api-yyyyyyyy.duosecurity.com)
  6. En la sección Permisos, marca solo la casilla de verificación del permiso Leer telefonía y desmarca todos los demás permisos.
  7. Haz clic en Guardar cambios.

Verifica los permisos

Para verificar que la aplicación de la API de Admin tenga los permisos necesarios, haz lo siguiente:

  1. Accede al panel de administración de Duo.
  2. Ve a Aplicaciones > Proteger una aplicación.
  3. Ubica tu aplicación de la API de Admin.
  4. Haz clic en el nombre de la aplicación para ver los detalles.
  5. En la sección Permisos, verifica que solo esté marcada la opción Leer telefonía.
  6. Si se marcaron otros permisos o no se marcó Read Telephony, actualiza los permisos y haz clic en Guardar cambios.

Prueba el acceso a la API

  • Prueba tus credenciales antes de continuar con la integración:

    # Replace with your actual credentials
DUO_IKEY="your-integration-key"
DUO_SKEY="your-secret-key"
DUO_HOST="api-yyyyyyyy.duosecurity.com"

# Test API access (requires signing - use Duo's API test tool or Python script)
# Visit https://duo.com/docs/adminapi#testing to test your credentials

Crea un bucket de Google Cloud Storage

  1. Ve a Google Cloud Console.
  2. Selecciona tu proyecto o crea uno nuevo.
  3. En el menú de navegación, ve a Cloud Storage > Buckets.
  4. Haz clic en Crear bucket.

  5. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Asigna un nombre a tu bucket Ingresa un nombre global único (por ejemplo, duo-telephony-logs).
    Tipo de ubicación Elige según tus necesidades (región, birregional, multirregional)
    Ubicación Selecciona la ubicación (por ejemplo, us-central1).
    Clase de almacenamiento Estándar (recomendado para los registros a los que se accede con frecuencia)
    Control de acceso Uniforme (recomendado)
    Herramientas de protección Opcional: Habilita el control de versiones de objetos o la política de retención

  6. Haz clic en Crear.

Crea una cuenta de servicio para la Cloud Run Function

La Cloud Run Function necesita una cuenta de servicio con permisos para escribir en el bucket de GCS y ser invocada por Pub/Sub.

Crear cuenta de servicio

  1. En GCP Console, ve a IAM y administración > Cuentas de servicio.
  2. Haz clic en Crear cuenta de servicio.
  3. Proporciona los siguientes detalles de configuración:
    • Nombre de la cuenta de servicio: Ingresa duo-telephony-collector-sa.
    • Descripción de la cuenta de servicio: Ingresa Service account for Cloud Run function to collect Duo Telephony logs.
  4. Haz clic en Crear y continuar.
  5. En la sección Otorga a esta cuenta de servicio acceso al proyecto, agrega los siguientes roles:
    1. Haz clic en Selecciona un rol.
    2. Busca y selecciona Administrador de objetos de almacenamiento.
    3. Haz clic en + Agregar otra función.
    4. Busca y selecciona Invocador de Cloud Run.
    5. Haz clic en + Agregar otra función.
    6. Busca y selecciona Cloud Functions Invoker.
  6. Haz clic en Continuar.
  7. Haz clic en Listo.

Estos roles son necesarios para las siguientes acciones:

  • Administrador de objetos de almacenamiento: Escribe registros en el bucket de GCS y administra archivos de estado
  • Invocador de Cloud Run: Permite que Pub/Sub invoque la función
  • Cloud Functions Invoker: Permite la invocación de funciones

Otorga permisos de IAM en el bucket de GCS

Otorga permisos de escritura a la cuenta de servicio en el bucket de GCS:

  1. Ve a Cloud Storage > Buckets.
  2. Haz clic en el nombre de tu bucket (por ejemplo, duo-telephony-logs).
  3. Ve a la pestaña Permisos.
  4. Haz clic en Otorgar acceso.
  5. Proporciona los siguientes detalles de configuración:
    • Agregar principales: Ingresa el correo electrónico de la cuenta de servicio (por ejemplo, duo-telephony-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Asignar roles: Selecciona Administrador de objetos de Storage.
  6. Haz clic en Guardar.

Crear tema de Pub/Sub

Crea un tema de Pub/Sub en el que Cloud Scheduler publicará y al que se suscribirá la función de Cloud Run.

  1. En GCP Console, ve a Pub/Sub > Temas.
  2. Haz clic en Crear un tema.
  3. Proporciona los siguientes detalles de configuración:
    • ID del tema: Ingresa duo-telephony-trigger.
    • Deja el resto de la configuración con sus valores predeterminados.
  4. Haz clic en Crear.

Crea una función de Cloud Run para recopilar registros

La función de Cloud Run se activa con mensajes de Pub/Sub de Cloud Scheduler para recuperar registros de la API de Duo Telephony y escribirlos en GCS.

  1. En GCP Console, ve a Cloud Run.
  2. Haz clic en Crear servicio.
  3. Selecciona Función (usa un editor intercalado para crear una función).

  4. En la sección Configurar, proporciona los siguientes detalles de configuración:

    Configuración Valor
    Nombre del servicio duo-telephony-logs-collector
    Región Selecciona la región que coincida con tu bucket de GCS (por ejemplo, us-central1).
    Tiempo de ejecución Selecciona Python 3.12 o una versión posterior.

  5. En la sección Activador (opcional), haz lo siguiente:

    1. Haz clic en + Agregar activador.
    2. Selecciona Cloud Pub/Sub.
    3. En Selecciona un tema de Cloud Pub/Sub, elige el tema de Pub/Sub (duo-telephony-trigger).
    4. Haz clic en Guardar.

  6. En la sección Autenticación, haz lo siguiente:

    1. Selecciona Solicitar autenticación.
    2. Verifica Identity and Access Management (IAM).

  7. Desplázate hacia abajo y expande Contenedores, redes y seguridad.

  8. Ve a la pestaña Seguridad:

    • Cuenta de servicio: Selecciona la cuenta de servicio (duo-telephony-collector-sa).

  9. Ve a la pestaña Contenedores:

    1. Haz clic en Variables y secretos.
    2. Haz clic en + Agregar variable para cada variable de entorno:
    Nombre de la variable Valor de ejemplo
    GCS_BUCKET duo-telephony-logs
    GCS_PREFIX duo-telephony
    STATE_KEY duo-telephony/state.json
    DUO_IKEY <your-integration-key>
    DUO_SKEY <your-secret-key>
    DUO_API_HOST api-yyyyyyyy.duosecurity.com
    MAX_ITERATIONS 10

  10. En la pestaña Variables y Secrets, desplázate hacia abajo hasta Requests:

    • Tiempo de espera de la solicitud: Ingresa 600 segundos (10 minutos).

  11. Ve a la pestaña Configuración en Contenedores:

    • En la sección Recursos, haz lo siguiente:
      • Memoria: Selecciona 512 MiB o más.
      • CPU: Selecciona 1.
    • Haz clic en Listo.

  12. Desplázate hasta Entorno de ejecución:

    • Selecciona Predeterminado (recomendado).

  13. En la sección Ajuste de escala de revisión, haz lo siguiente:

    • Cantidad mínima de instancias: Ingresa 0.
    • Cantidad máxima de instancias: Ingresa 100 (o ajusta según la carga esperada).

  14. Haz clic en Crear.

  15. Espera a que se cree el servicio (de 1 a 2 minutos).

  16. Después de crear el servicio, se abrirá automáticamente el editor de código intercalado.

Agregar el código de función

  1. Ingresa main en el campo Punto de entrada.

  2. En el editor de código intercalado, crea dos archivos:

    • Primer archivo: main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import hmac
import hashlib
import base64
import urllib.parse
import urllib3
import email.utils
from datetime import datetime, timedelta, timezone
from typing import Dict, Any, List, Optional

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Duo telephony logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'duo-telephony').rstrip('/')
    state_key = os.environ.get('STATE_KEY', 'duo-telephony/state.json')
    integration_key = os.environ.get('DUO_IKEY')
    secret_key = os.environ.get('DUO_SKEY')
    api_hostname = os.environ.get('DUO_API_HOST')

    if not all([bucket_name, integration_key, secret_key, api_hostname]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state
        state = load_state(bucket, state_key)

        # Calculate time range
        now = datetime.now(timezone.utc)

        if state.get('last_offset'):
            # Continue from last offset
            next_offset = state['last_offset']
            logs = []
            has_more = True
        else:
            # Start from last timestamp or 24 hours ago
            mintime = state.get('last_timestamp_ms', int((now - timedelta(hours=24)).timestamp() * 1000))
            # Apply 2-minute delay as recommended by Duo
            maxtime = int((now - timedelta(minutes=2)).timestamp() * 1000)
            next_offset = None
            logs = []
            has_more = True

        # Fetch logs with pagination
        total_fetched = 0
        max_iterations = int(os.environ.get('MAX_ITERATIONS', '10'))

        while has_more and total_fetched < max_iterations:
            page_num = total_fetched + 1

            if next_offset:
                # Use offset for pagination
                params = {
                    'limit': '100',
                    'next_offset': next_offset
                }
            else:
                # Initial request with time range
                params = {
                    'mintime': str(mintime),
                    'maxtime': str(maxtime),
                    'limit': '100',
                    'sort': 'ts:asc'
                }

            # Make API request with retry logic
            response = duo_api_call_with_retry(
                'GET',
                api_hostname,
                '/admin/v2/logs/telephony',
                params,
                integration_key,
                secret_key
            )

            if 'items' in response:
                logs.extend(response['items'])
                total_fetched += 1

            # Check for more data
            if 'metadata' in response and 'next_offset' in response['metadata']:
                next_offset = response['metadata']['next_offset']
                state['last_offset'] = next_offset
            else:
                has_more = False
                state['last_offset'] = None

                # Update timestamp for next run
                if logs:
                    # Get the latest timestamp from logs (ISO 8601 format)
                    latest_ts = max([log.get('ts', '') for log in logs])
                    if latest_ts:
                        # Convert ISO timestamp to milliseconds
                        dt = datetime.fromisoformat(latest_ts.replace('Z', '+00:00'))
                        state['last_timestamp_ms'] = int(dt.timestamp() * 1000) + 1

        # Save logs to GCS if any were fetched
        if logs:
            timestamp = datetime.now(timezone.utc).strftime('%Y%m%d_%H%M%S')
            blob_name = f"{prefix}/telephony_{timestamp}.json"

            # Format logs as newline-delimited JSON
            log_data = '\n'.join(json.dumps(log) for log in logs)

            blob = bucket.blob(blob_name)
            blob.upload_from_string(
                log_data,
                content_type='application/x-ndjson'
            )

            print(f"Saved {len(logs)} telephony logs to gs://{bucket_name}/{blob_name}")
        else:
            print("No new telephony logs found")

        # Save state
        save_state(bucket, state_key, state)

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def duo_api_call_with_retry(
    method: str,
    host: str,
    path: str,
    params: Dict[str, str],
    ikey: str,
    skey: str,
    max_retries: int = 3
) -> Dict[str, Any]:
    """Make an authenticated API call to Duo Admin API with retry logic."""
    for attempt in range(max_retries):
        try:
            return duo_api_call(method, host, path, params, ikey, skey)
        except Exception as e:
            if '429' in str(e) or '5' in str(e)[:1]:
                if attempt < max_retries - 1:
                    wait_time = (2 ** attempt) * 2
                    print(f"Retrying after {wait_time} seconds...")
                    import time
                    time.sleep(wait_time)
                    continue
            raise

def duo_api_call(
    method: str,
    host: str,
    path: str,
    params: Dict[str, str],
    ikey: str,
    skey: str
) -> Dict[str, Any]:
    """Make an authenticated API call to Duo Admin API."""
    # Create canonical string for signing using RFC 2822 date format
    now = email.utils.formatdate()
    canon = [now, method.upper(), host.lower(), path]

    # Add parameters
    args = []
    for key in sorted(params.keys()):
        val = params[key]
        args.append(f"{urllib.parse.quote(key, '~')}={urllib.parse.quote(val, '~')}")
    canon.append('&'.join(args))

    canon_str = '\n'.join(canon)

    # Sign the request
    sig = hmac.new(
        skey.encode('utf-8'),
        canon_str.encode('utf-8'),
        hashlib.sha1
    ).hexdigest()

    # Create authorization header
    auth = base64.b64encode(f"{ikey}:{sig}".encode('utf-8')).decode('utf-8')

    # Build URL
    url = f"https://{host}{path}"
    if params:
        url += '?' + '&'.join(args)

    # Make request
    headers = {
        'Authorization': f'Basic {auth}',
        'Date': now,
        'Host': host,
        'User-Agent': 'duo-telephony-gcs-ingestor/1.0'
    }

    try:
        response = http.request('GET', url, headers=headers)
        data = json.loads(response.data.decode('utf-8'))

        if data.get('stat') == 'OK':
            return data.get('response', {})
        else:
            raise Exception(f"API error: {data.get('message', 'Unknown error')}")
    except urllib3.exceptions.HTTPError as e:
        raise Exception(f"HTTP error: {str(e)}")

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')
    • Segundo archivo: requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Haz clic en Implementar para guardar y, luego, implementar la función.

  4. Espera a que se complete la implementación (de 2 a 3 minutos).

Crea un trabajo de Cloud Scheduler

Cloud Scheduler publica mensajes en el tema de Pub/Sub a intervalos regulares, lo que activa la función de Cloud Run.

  1. En GCP Console, ve a Cloud Scheduler.
  2. Haz clic en Crear trabajo.

  3. Proporciona los siguientes detalles de configuración:

    Configuración Valor
    Nombre duo-telephony-logs-1h
    Región Selecciona la misma región que la función de Cloud Run
    Frecuencia 0 * * * * (cada hora, en punto)
    Zona horaria Selecciona la zona horaria (se recomienda UTC)
    Tipo de orientación Pub/Sub
    Tema Selecciona el tema de Pub/Sub (duo-telephony-trigger).
    Cuerpo del mensaje {} (objeto JSON vacío)

  4. Haz clic en Crear.

Opciones de frecuencia de programación

  • Elige la frecuencia según los requisitos de latencia y volumen de registros:

    Frecuencia Expresión cron Caso de uso
    Cada 5 minutos */5 * * * * Alto volumen y baja latencia
    Cada 15 minutos */15 * * * * Volumen medio
    Cada 1 hora 0 * * * * Estándar (opción recomendada)
    Cada 6 horas 0 */6 * * * Procesamiento por lotes y volumen bajo
    Diario 0 0 * * * Recopilación de datos históricos

Prueba el trabajo de Scheduler

  1. En la consola de Cloud Scheduler, busca tu trabajo (duo-telephony-logs-1h).
  2. Haz clic en Forzar ejecución para activarlo de forma manual.
  3. Espera unos segundos y ve a Cloud Run > Servicios.
  4. Haz clic en el nombre de la función (duo-telephony-logs-collector).
  5. Haz clic en la pestaña Registros.
  6. Verifica que la función se haya ejecutado correctamente.
  7. Ve a Cloud Storage > Buckets.
  8. Haz clic en el nombre de tu bucket (duo-telephony-logs).
  9. Navega a la carpeta del prefijo (duo-telephony/).
  10. Verifica que se haya creado un nuevo archivo .json con registros.

Si ves errores en los registros, haz lo siguiente:

  • HTTP 401: Verifica las credenciales de la API (DUO_IKEY, DUO_SKEY, DUO_API_HOST) en las variables de entorno.
  • HTTP 403: Verifica que la aplicación de la API de Admin tenga habilitado el permiso Read Telephony.
  • HTTP 429: Limitación de frecuencia. La función volverá a intentarlo automáticamente con una espera exponencial.
  • Faltan variables de entorno: Verifica que todas las variables requeridas estén configuradas en la configuración de la función de Cloud Run.

Recupera la cuenta de servicio de Google SecOps

Las Operaciones de seguridad de Google usan una cuenta de servicio única para leer datos de tu bucket de GCS. Debes otorgar acceso a tu bucket a esta cuenta de servicio.

Obtén el correo electrónico de la cuenta de servicio

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Duo Telephony logs).
  5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
  6. Selecciona Registros de telefonía de Duo como el Tipo de registro.

  7. Haz clic en Obtener cuenta de servicio. Se muestra un correo electrónico único de la cuenta de servicio, por ejemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copia esta dirección de correo electrónico para usarla en el siguiente paso.

Otorga permisos de IAM a la cuenta de servicio de Google SecOps

La cuenta de servicio de Google SecOps necesita el rol de visualizador de objetos de almacenamiento en tu bucket de GCS.

  1. Ve a Cloud Storage > Buckets.
  2. Haz clic en el nombre de tu bucket (por ejemplo, duo-telephony-logs).
  3. Ve a la pestaña Permisos.
  4. Haz clic en Otorgar acceso.
  5. Proporciona los siguientes detalles de configuración:
    • Agregar principales: Pega el correo electrónico de la cuenta de servicio de Google SecOps.
    • Asignar roles: Selecciona Visualizador de objetos de Storage.

  6. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros de Duo Telephony

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en Configura un feed único.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Duo Telephony logs).
  5. Selecciona Google Cloud Storage V2 como el Tipo de fuente.
  6. Selecciona Registros de telefonía de Duo como el Tipo de registro.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URL del bucket de almacenamiento: Ingresa el URI del bucket de GCS con la ruta de acceso del prefijo:

      gs://duo-telephony-logs/duo-telephony/

      • Reemplaza lo siguiente:

        • duo-telephony-logs: Es el nombre de tu bucket de GCS.
        • duo-telephony: Es el prefijo o la ruta de carpeta opcionales en los que se almacenan los registros (déjalo vacío para la raíz).

      • Ejemplos:

        • Bucket raíz: gs://duo-telephony-logs/
        • Con prefijo: gs://duo-telephony-logs/duo-telephony/

    • Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:

      • Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
      • Borrar archivos transferidos: Borra los archivos después de la transferencia exitosa.
      • Borrar los archivos transferidos y los directorios vacíos: Borra los archivos y los directorios vacíos después de la transferencia exitosa.

    • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
context metadata.product_event_type Se asigna directamente desde el campo de contexto en el registro sin procesar.
créditos security_result.detection_fields.value Se asigna directamente desde el campo de créditos en el registro sin procesar, anidado en un objeto detection_fields con los créditos de clave correspondientes.
eventtype security_result.detection_fields.value Se asigna directamente desde el campo eventtype en el registro sin procesar, anidado en un objeto detection_fields con el evento clave correspondiente eventtype.
host principal.hostname Se asigna directamente desde el campo de host en el registro sin procesar si no es una dirección IP.
security_result.action Se establece en un valor estático de "ALLOW" en el analizador.
security_result.detection_fields.value Se establece en un valor estático de "MECHANISM_UNSPECIFIED" en el analizador.
metadata.event_timestamp Se analizó a partir del campo ts en el registro sin procesar, que es una cadena de marca de tiempo ISO 8601.
metadata.event_type Se establece en "USER_UNCATEGORIZED" si los campos de contexto y host están presentes en el registro sin procesar. Se establece en "STATUS_UPDATE" si solo está presente el host. De lo contrario, se establece en "GENERIC_EVENT".
metadata.log_type Se toma directamente del campo log_type del registro sin procesar.
metadata.product_name Se establece en un valor estático de "Telefonía" en el analizador.
metadata.vendor_name Se establece en un valor estático de "Duo" en el analizador.
teléfono principal.user.phone_numbers Se asigna directamente desde el campo del teléfono en el registro sin procesar.
teléfono principal.user.userid Se asigna directamente desde el campo del teléfono en el registro sin procesar.
security_result.severity Se establece en un valor estático de "INFORMATIONAL" en el analizador.
security_result.summary Se establece en un valor estático de "Duo Telephony" en el analizador.
ts metadata.event_timestamp Se analizó a partir del campo ts en el registro sin procesar, que es una cadena de marca de tiempo ISO 8601.
tipo security_result.summary Se asigna directamente desde el campo de tipo en el registro sin procesar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.