Компания Okta представила каталог правил Auth0 с открытым исходным кодом для обнаружения угроз. В рамках проекта доступны Sigma‑запросы (Sigma‑based queries) для обнаружения захватов учётных записей, неверных настроек и подозрительного поведения в журналах событий. Исходный код проекта Auth0 Security Detection Catalog написан на Python и опубликован на GitHub под лицензией Apache License Version 2.0.
Auth0 — это платформа Okta для управления идентификацией и доступом (IAM), используемая организациями для входа в систему, аутентификации и управления пользователями. Выпуская правила обнаружения, компания стремится помочь службам безопасности быстро анализировать журналы Auth0 на предмет подозрительной активности, которая может указывать на попытки вторжения, захват учётных записей, создание мошеннических учётных записей администратора, СМС‑бомбардинг и кражу токенов.
До сих пор клиентам Auth0 приходилось создавать собственные правила обнаружения на основе журналов событий или полагаться на стандартные функции Центра безопасности Auth0. С запуском Customer Detection Catalog — курируемого репозитория с открытым исходным кодом, поддерживаемого сообществом, Okta предоставляет разработчикам, администраторам, командам DevOps, аналитикам SOC и специалистам по поиску угроз инструмент для повышения эффективности проактивного обнаружения угроз.
«Customer Detection Catalog Auth0 позволяет командам безопасности интегрировать собственную логику обнаружения, основанную на реальных данных, непосредственно в инструменты потоковой передачи и мониторинга журналов, расширяя возможности обнаружения платформы Auth0. Каталог правил Auth0 предоставляет постоянно пополняющуюся коллекцию готовых запросов, созданных сотрудниками Okta и более широким сообществом специалистов по безопасности, которые выявляют подозрительные действия, такие как аномальное поведение пользователей, потенциальные захваты учётных записей и неверные настройки», — говорится в объявлении Okta.
Публичный репозиторий GitHub включает Sigma‑правила, что делает его широко применимым в SIEM и инструментах журналирования, а также позволяет всем клиентам Okta вносить свой вклад и получать валидацию. Okta приветствует всех, кто пишет новые правила или дорабатывает существующие, и отправляет их в репозиторий через pull request на GitHub, чтобы улучшить охват всего сообщества Auth0, пояснили в компании.
Источник: habr.com