Oktaは、Auth0の顧客向けにアカウント乗っ取り、設定ミス、不審な行動をイベントログから検知するための、Sigmaベースのクエリをオープンソースで公開しました。
Auth0は、Oktaが提供するアイデンティティおよびアクセス管理(IAM)プラットフォームで、組織がログイン、認証、ユーザー管理サービスに利用しています。
この検知ルールの公開により、同社はセキュリティチームがAuth0のログを迅速に分析し、侵入の試み、アカウント乗っ取り、不正な管理者アカウントの作成、SMS爆撃、トークンの窃取などの疑わしい活動を特定できるよう支援することを目指しています。
これまで、Auth0の顧客はイベントログから独自に検知ルールを作成するか、Auth0のSecurity Centerに標準搭載されているものに頼るしかありませんでした。
今回リリースされた「Customer Detection Catalog」は、厳選されたオープンソースのコミュニティ主導のリポジトリであり、Oktaは開発者、テナント管理者、DevOpsチーム、SOCアナリスト、脅威ハンターに、プロアクティブな脅威検知を強化する手段を提供します。
「Auth0 Customer Detection Catalogにより、セキュリティチームは実際のカスタム検知ロジックをログストリーミングや監視ツールに直接統合でき、Auth0プラットフォームの検知能力を強化できます」と発表文には記載されています。
「このカタログは、Oktaの担当者や広範なセキュリティコミュニティによって提供された、異常なユーザー行動、アカウント乗っ取りや設定ミスの可能性など、不審な活動を明らかにする事前構築済みのクエリを増やし続けています。」
公開GitHubリポジトリにはSigmaルールが含まれており、SIEMやログツール全般で広く利用できるほか、Oktaの全顧客による貢献や検証も可能です。
Auth0ユーザーは、以下の手順で新しいCustomer Detection Catalogを活用できます:
- GitHubリポジトリにアクセスし、リポジトリをローカルにクローンまたはダウンロードします。
- sigma-cliなどのSigmaコンバーターをインストールし、提供されたルールを自身のSIEMやログ分析プラットフォームがサポートするクエリ構文に変換します。
- 変換したクエリを監視ワークフローにインポートし、Auth0のイベントログに対して実行するよう設定します。
- 過去のログに対してルールを実行し、意図通りに動作するか検証し、誤検知を減らすためにフィルターを調整します。
- 検証済みの検知ルールを本番環境に導入し、Oktaやコミュニティからの重要な更新があればGitHubリポジトリを定期的にチェックして取り込みます。
Oktaは、新しいルールの作成や既存ルールの改善を行うすべての方に、GitHubのプルリクエストを通じてリポジトリへの提出を歓迎しており、Auth0コミュニティ全体のカバレッジ向上に協力するよう呼びかけています。
