Каталог правил Auth0 с открытым исходным кодом для обнаружения угроз
Компания Okta опубликовала готовые запросы на основе Sigma для клиентов Auth0, которые позволяют выявлять случаи захвата аккаунтов, неправильные настройки и подозрительное поведение в журналах событий.
Auth0 — это платформа управления идентификацией и доступом (IAM) от Okta, которая используется организациями для входа в систему, аутентификации и управления пользователями.
Публикуя правила обнаружения, компания стремится помочь службам безопасности быстро анализировать журналы Auth0 на предмет подозрительной активности, которая может указывать на попытки вторжения, захват учётных записей, создание мошеннических учётных записей администраторов, рассылку SMS-сообщений и кражу токенов.
До недавнего времени клиентам Auth0 приходилось создавать собственные правила обнаружения на основе журналов событий или полагаться на готовые решения в Центре безопасности Auth0.
С запуском Customer Detection Catalog — тщательно отобранного репозитория с открытым исходным кодом, управляемого сообществом, — компания Okta предоставляет разработчикам, администраторам клиентов, командам DevOps, аналитикам SOC и специалистам по поиску угроз инструменты для повышения эффективности проактивного обнаружения угроз.
«Каталог средств обнаружения Auth0 Customer позволяет службам безопасности интегрировать пользовательскую логику обнаружения непосредственно в инструменты потоковой передачи и мониторинга журналов, расширяя возможности обнаружения на платформе Auth0», читаем в объявлении: https://sec.okta.com/articles/2025/08/auth0-detection-catalog/.
«Каталог содержит постоянно пополняющуюся коллекцию готовых запросов, разработанных сотрудниками Okta и другими специалистами по безопасности, которые выявляют подозрительные действия, такие как аномальное поведение пользователей, потенциальный захват учётных записей и неправильные настройки».
Публичный репозиторий на GitHub (https://github.com/auth0/auth0-customer-detections) содержит правила Sigma, что делает его универсальным для использования в SIEM-системах и инструментах ведения журналов, а также позволяет вносить свой вклад и проводить проверки всем клиентам Okta.
Пользователи Auth0 могут воспользоваться преимуществами нового каталога Customer Detection Catalog, выполнив следующие действия:
- Откройте репозиторий GitHub и клонируйте его или загрузите локально.
- Установите конвертер Sigma, например sigma-cli, чтобы преобразовать указанные правила в синтаксис запросов, поддерживаемый вашей SIEM-системой или платформой для анализа журналов.
- Импортируйте преобразованные запросы в свой рабочий процесс мониторинга и настройте их для работы с журналами событий Auth0.
- Запустите правила на основе исторических данных, чтобы убедиться, что они работают должным образом, и настройте фильтры для уменьшения количества ложных срабатываний.
- Внедряйте проверенные решения в производство и регулярно проверяйте репозиторий GitHub на наличие важных обновлений, выпущенных Okta или сообществом.
Okta приглашает всех, кто пишет новые правила или дорабатывает существующие, отправлять их в репозиторий через запрос на вытягивание на GitHub, чтобы улучшить охват для всего сообщества Auth0.
Редактор: AndreyEx
