Oktaは、Auth0の顧客向けに、アカウント乗っ取り、設定ミス、不審な行動をイベントログから検出するための、Sigmaベースのクエリをオープンソース化しました。
Auth0は、Oktaが提供するアイデンティティおよびアクセス管理(IAM)プラットフォームで、組織がログイン、認証、ユーザー管理サービスに利用しています。
検出ルールを公開することで、同社はセキュリティチームがAuth0のログを迅速に分析し、侵入の試みやアカウント乗っ取り、不正な管理者アカウントの作成、SMS爆撃、トークン窃取などの疑わしい活動を特定できるよう支援することを目指しています。
これまでは、Auth0の顧客はイベントログから自分で検出ルールを作成するか、Auth0のSecurity Centerに標準搭載されているものに頼る必要がありました。
今回リリースされたCustomer Detection Catalogは、厳選されたオープンソースでコミュニティ主導のリポジトリであり、Oktaは開発者、テナント管理者、DevOpsチーム、SOCアナリスト、脅威ハンターに、より高度な脅威検出を実現する手段を提供します。
「Auth0 Customer Detection Catalogにより、セキュリティチームは実際のカスタム検出ロジックをログストリーミングや監視ツールに直接統合でき、Auth0プラットフォームの検出能力を強化できます」と発表文は述べています。
「このカタログには、Oktaの担当者や広範なセキュリティコミュニティによって提供された、異常なユーザー行動、アカウント乗っ取りや設定ミスの可能性など、不審な活動を浮き彫りにする事前構築済みクエリが増え続けています。」
公開GitHubリポジトリにはSigmaルールが含まれており、SIEMやログツール全般で幅広く利用でき、Oktaの全顧客による貢献や検証も可能です。
Auth0ユーザーは、以下の手順で新しいCustomer Detection Catalogを活用できます:
- GitHubリポジトリにアクセスし、リポジトリをローカルにクローンまたはダウンロードします。
- sigma-cliなどのSigmaコンバーターをインストールし、提供されたルールを自分のSIEMやログ分析プラットフォームでサポートされているクエリ構文に変換します。
- 変換したクエリを監視ワークフローにインポートし、Auth0のイベントログに対して実行するよう設定します。
- ルールを過去のログに対して実行し、意図した通りに動作するか検証し、誤検知を減らすためにフィルターを調整します。
- 検証済みの検出ルールを本番環境に導入し、Oktaやコミュニティによる重要なアップデートがないか、定期的にGitHubリポジトリを確認します。
Oktaは、新しいルールの作成や既存ルールの改善に取り組む方が、GitHubのプルリクエストを通じてリポジトリに提出し、Auth0コミュニティ全体のカバレッジ向上に貢献することを歓迎しています。
