Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=auth0-overview

Resumen de la integración de Auth0

API Identidad

Puede integrar Auth0 con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Presentación del producto de Auth0

Auth0 es una plataforma de autenticación y autorización, especializada en ofrecer acceso seguro a aplicaciones y sistemas a través de una solución nativa en la nube. Auth0 apuesta por mejorar la experiencia del usuario ofreciendo a los desarrolladores funciones de autenticación y autorización flexibles y fáciles de implementar, como el inicio de sesión único (SSO), la autenticación multifactor y el inicio de sesión con credenciales de redes sociales. Su enfoque dinámico a la hora de gestionar y proteger las identidades de los usuarios en diversas aplicaciones lo convierte en una potente herramienta para las organizaciones que desean reforzar su infraestructura de ciberseguridad al tiempo que mantienen la accesibilidad y la comodidad de los usuarios.

Documentos de Sophos

Integrar Auth0 (API)

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.request.blocked
  • security.session.detect_client_roaming

Filtrado

Filtramos los mensajes de la siguiente manera:

  • Solo ACEPTAMOS los mensajes que tienen el formato correcto.
  • DESCARTAMOS los mensajes que no tienen el formato correcto.

Muestra de asignaciones de amenazas

Definimos el tipo de alerta a partir de una búsqueda de type en una lista publicada por Auth0.

"value": "=> getNestedValue(_.referenceValues.code_translation, 'log_event_type_code', fields.type) ? getNestedValue(_.referenceValues.code_translation, 'log_event_type_code', fields.type) :  getNestedValue(_.globalReferenceValues.code_translation, 'log_event_type_code', fields.type) ? getNestedValue(_.globalReferenceValues.code_translation, 'log_event_type_code', fields.type) : fields.type",

Muestras:

{"alertType": "Success Change Password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "Rate Limit on the Authentication API", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Auth0 Update Started", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentación del proveedor

Obtener tokens de acceso a la API de administración para producción