Auth0 整合的概覽
您可以將 Auth0 與 Sophos Central 整合,讓其將警示傳送至 Sophos 進行分析。
本頁面提供此整合功能的概覽。
Auth0 產品概覽
Auth0 是一個身分驗證和授權平台,專門透過雲端原生解決方案提供對應用程式和系統的安全存取。Auth0 專注於透過為開發人員提供靈活且易於實作的身分驗證和授權功能(例如單一登入 (SSO)、多重要素驗證和社交登入)來增強使用者體驗。其採用動態方法跨各種應用程式管理和保護使用者身分,這使其成為適合組織的強大工具,這些組織旨在增強網路安全基礎架構,同時保持使用者的可存取性和便利性。
Sophos 文件資訊
資料擷取內容
Sophos 可擷取的範例警示包括:
security.authenticator.lifecycle.activatesecurity.authenticator.lifecycle.createsecurity.authenticator.lifecycle.deactivatesecurity.authenticator.lifecycle.updatesecurity.device.add_request_blacklist_policysecurity.device.remove_request_blacklist_policysecurity.device.temporarily_disable_blacklistingsecurity.request.blockedsecurity.session.detect_client_roaming
資料篩選
我們按以下方式篩選警示:
- 我們僅允許符合正確格式的訊息。
- 我們會刪除不符合正確格式的訊息。
威脅對應範例
我們從 Auth0 發佈的清單中查找 type 以定義警示類型。
"value": "=> getNestedValue(_.referenceValues.code_translation, 'log_event_type_code', fields.type) ? getNestedValue(_.referenceValues.code_translation, 'log_event_type_code', fields.type) : getNestedValue(_.globalReferenceValues.code_translation, 'log_event_type_code', fields.type) ? getNestedValue(_.globalReferenceValues.code_translation, 'log_event_type_code', fields.type) : fields.type",
樣本:
{"alertType": "Success Change Password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "Rate Limit on the Authentication API", "threatId": "T1110", "threatName": "Brute Force"}
{"alertType": "Auth0 Update Started", "threatId": "TA0005", "threatName": "Defense Evasion"}