Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=auth0-overview

Vue générale de l’intégration Auth0

API Identité

Vous pouvez intégrer Auth0 à Sophos Central afin de lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Vue générale du produit Auth0

Auth0 est une plate-forme d’authentification et d’autorisation, spécialisée dans l’accès sécurisé aux applications et systèmes via une solution Cloud native. Auth0 se concentre sur l’amélioration de l’expérience d’utilisation en offrant aux développeurs des fonctionnalités d’authentification et d’autorisation flexibles et faciles à mettre en œuvre, telles que l’authentification unique (SSO), l’authentification multifacteur et la connexion aux réseaux sociaux. Son approche dynamique de la gestion et de la sécurisation des identités des utilisateurs sur diverses applications en fait un outil puissant pour les organisations visant à renforcer leur infrastructure de cybersécurité tout en maintenant l’accessibilité et la commodité des utilisateurs.

Documents Sophos

Intégrer Auth0 (API)

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.request.blocked
  • security.session.detect_client_roaming

Filtrage

Nous filtrons les messages comme suit :

  • Nous AUTORISONS uniquement les messages qui sont au bon format.
  • Nous SUPPRIMONS les messages qui ne sont pas au bon format.

Exemples de mappages de menaces

Nous définissons le type d'alerte à partir d'une recherche de type dans une liste publiée par Auth0.

"value": "=> getNestedValue(_.referenceValues.code_translation, 'log_event_type_code', fields.type) ? getNestedValue(_.referenceValues.code_translation, 'log_event_type_code', fields.type) :  getNestedValue(_.globalReferenceValues.code_translation, 'log_event_type_code', fields.type) ? getNestedValue(_.globalReferenceValues.code_translation, 'log_event_type_code', fields.type) : fields.type",

Exemples :

{"alertType": "Success Change Password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "Rate Limit on the Authentication API", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Auth0 Update Started", "threatId": "TA0005", "threatName": "Defense Evasion"}

Documentation fournisseur

Obtenir des jetons d’accès API de gestion pour la production