Auth0 統合の概要
Auth0 を Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。
このページでは、統合の概要を説明します。
Auth0 製品概要
Auth0 は、クラウドネイティブなソリューションを通じてアプリケーションやシステムへの安全なアクセスを提供することに特化した認証・認可プラットフォームです。Auth0 は、シングルサインオン (SSO)、多要素認証、ソーシャルログインなど、柔軟で実装しやすい認証や認可機能を開発者に提供することで、ユーザーエクスペリエンスの向上に重点を置いています。さまざまなアプリケーションにわたってユーザー ID を管理および保護する動的なアプローチにより、ユーザーのアクセシビリティと利便性を維持しながらサイバーセキュリティインフラの強化を目指す組織にとって強力なツールになります。
ソフォス製品ドキュメント
取り込まれる内容
ソフォスで表示される警告の例:
security.authenticator.lifecycle.activatesecurity.authenticator.lifecycle.createsecurity.authenticator.lifecycle.deactivatesecurity.authenticator.lifecycle.updatesecurity.device.add_request_blacklist_policysecurity.device.remove_request_blacklist_policysecurity.device.temporarily_disable_blacklistingsecurity.request.blockedsecurity.session.detect_client_roaming
フィルタリング
メッセージは次のようにフィルタリングされます。
- 正しい形式であるメッセージのみを許可します。
- 正しい形式ではないメッセージは削除します。
脅威マッピングの例
ソフォスでは Auth0 が公開していいるリスト内の type を参照して警告の種類を定義します。
"value": "=> getNestedValue(_.referenceValues.code_translation, 'log_event_type_code', fields.type) ? getNestedValue(_.referenceValues.code_translation, 'log_event_type_code', fields.type) : getNestedValue(_.globalReferenceValues.code_translation, 'log_event_type_code', fields.type) ? getNestedValue(_.globalReferenceValues.code_translation, 'log_event_type_code', fields.type) : fields.type",
サンプル:
{"alertType": "Success Change Password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "Rate Limit on the Authentication API", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Auth0 Update Started", "threatId": "TA0005", "threatName": "Defense Evasion"}