Okta قوانین امنیتی Auth0 را در قالب یک کاتالوگ متن‌باز ارائه داد

Okta مجموعه‌ای از کوئری‌های آماده مبتنی بر Sigma را برای مشتریان Auth0 به‌صورت متن‌باز منتشر کرده است. این کوئری‌ها به‌منظور شناسایی account takeover، پیکربندی‌های نادرست و رفتار مشکوک در event logs طراحی شده‌اند.

Auth0 پلتفرم Identity and Access Management (IAM) متعلق به Okta است که توسط سازمان‌ها برای ورود (login)، احراز هویت (authentication) و مدیریت کاربران مورد استفاده قرار می‌گیرد.

با انتشار این قوانین شناسایی، هدف شرکت کمک به تیم‌های امنیتی برای تحلیل سریع‌تر لاگ‌های Auth0 در راستای کشف فعالیت‌های مشکوک است؛ فعالیت‌هایی مانند تلاش‌های نفوذ، تصاحب حساب، ایجاد حساب‌های مدیریتی غیرمجاز، SMS bombing و سرقت token.

تا پیش از این، مشتریان Auth0 ناچار بودند قوانین شناسایی را خودشان بر اساس لاگ‌ها ایجاد کنند یا به قابلیت‌های پیش‌فرض Security Center متکی باشند.

اکنون با راه‌اندازی Customer Detection Catalog، یک مخزن متن‌باز، منتخب و جامعه‌محور، Okta ابزاری در اختیار توسعه‌دهندگان، مدیران tenant، تیم‌های DevOps، تحلیلگران SOC و threat hunters قرار داده است تا توانایی شناسایی تهدیدات خود را ارتقا دهند.

در بیانیه‌ی رسمی آمده است:
«کاتالوگ Auth0 Customer Detection به تیم‌های امنیتی اجازه می‌دهد منطق شناسایی سفارشی و مبتنی بر شرایط واقعی را مستقیماً در ابزارهای log streaming و monitoring ادغام کرده و قابلیت‌های شناسایی پلتفرم Auth0 را تقویت کنند.»

این کاتالوگ شامل مجموعه‌ای در حال رشد از کوئری‌های از پیش‌ساخته‌شده است که توسط متخصصان Okta و جامعه امنیتی ارائه می‌شود و فعالیت‌های مشکوکی مانند رفتار غیرمعمول کاربران، تلاش برای تصاحب حساب‌ها و پیکربندی‌های اشتباه را شناسایی می‌کند.

مخزن عمومی GitHub شامل قوانین Sigma است که امکان استفاده گسترده در SIEM‌ها و ابزارهای logging را فراهم کرده و به کل جامعه مشتریان Okta اجازه می‌دهد در بهبود و اعتبارسنجی آن مشارکت داشته باشند.

کاربران Auth0 می‌توانند از Customer Detection Catalog به روش زیر استفاده کنند:

1. دسترسی به مخزن GitHub و کلون یا دانلود محلی آن.
2. نصب یک Sigma converter مانند sigma-cli برای ترجمه قوانین به query syntax مورد پشتیبانی SIEM یا پلتفرم تحلیل لاگ.
3. وارد کردن کوئری‌های ترجمه‌شده در جریان مانیتورینگ و پیکربندی برای اجرا روی لاگ‌های
4. اجرای قوانین روی لاگ‌های تاریخی جهت اطمینان از عملکرد صحیح و تنظیم فیلترها برای کاهش false positive.
5. استقرار قوانین تأییدشده در محیط عملیاتی و بررسی منظم مخزن GitHub برای دریافت به‌روزرسانی‌های مهم از سوی Okta یا جامعه.

Okta از تمامی کاربران و متخصصانی که قوانین جدید می‌نویسند یا قوانین موجود را بهبود می‌دهند دعوت کرده است تا از طریق pull request در GitHub آن‌ها را به اشتراک بگذارند و در ارتقای پوشش امنیتی کل جامعه Auth0 مشارکت کنند.