Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=auth0-overview

Panoramica dell’integrazione Auth0

API Identità

Auth0 può essere integrato con Sophos Central in modo da inviare avvisi a Sophos, a scopo di analisi.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Auth0

Auth0 è una piattaforma di autenticazione e autorizzazione, specializzata nel garantire accesso sicuro alle applicazioni e ai sistemi, attraverso una soluzione nativa del cloud. Auth0 si concentra principalmente sull’ottimizzazione dell’esperienza utente, offrendo agli sviluppatori opzioni di autenticazione e autorizzazione flessibili e facili da implementare, come il Single Sign-On (SSO), l’autenticazione a più fattori e l’accesso con social media. Il suo approccio dinamico alla gestione e alla protezione delle identità degli utenti su applicazioni diverse lo rende uno strumento estremamente efficace per le organizzazioni che desiderano potenziare la propria infrastruttura di cybersecurity, pur mantenendo gli stessi livelli di accessibilità e praticità per gli utenti.

Documenti Sophos

Integrazione di Auth0 (API)

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.request.blocked
  • security.session.detect_client_roaming

Filtraggio

Filtriamo i messaggi nel modo indicato di seguito:

  • Vengono AUTORIZZATI solo i messaggi nel formato corretto.
  • I messaggi che non sono nel formato corretto vengono RILASCIATI.

Esempi di mapping delle minacce

Definiamo il tipo di avviso in base a una ricerca di type in un elenco pubblicato da Auth0.

"value": "=> getNestedValue(_.referenceValues.code_translation, 'log_event_type_code', fields.type) ? getNestedValue(_.referenceValues.code_translation, 'log_event_type_code', fields.type) :  getNestedValue(_.globalReferenceValues.code_translation, 'log_event_type_code', fields.type) ? getNestedValue(_.globalReferenceValues.code_translation, 'log_event_type_code', fields.type) : fields.type",

Campioni:

{"alertType": "Success Change Password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "Rate Limit on the Authentication API", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Auth0 Update Started", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentazione del vendor

Get Management API Access Tokens for Production (Ottenere token di accesso API per la produzione)