Okta Auth0 biedt open-source catalogus voor proactieve beveiliging
Auth0, onderdeel van Okta, heeft de Auth0 Customer Detection Catalog gelanceerd, een open-source repository op GitHub met detectieregels die beveiligingsteams helpen om proactief beveiligingsdreigingen te identificeren en te bestrijden. De catalogus is een aanvulling op de bestaande beveiligingstools van Auth0 en is ontworpen om de beveiligingsmonitoring te verrijken.
Het initiatief biedt een groeiende verzameling van kant-en-klare zoekopdrachten, die verdachte activiteiten zoals ongebruikelijk gebruikersgedrag, mogelijke accountovernames en misconfiguraties aan het licht brengen. De regels zijn ontwikkeld door personeel van Okta en de bredere beveiligingsgemeenschap.
Kracht door samenwerking
De catalogus is inzetbaar voor verschillende gebruikers, waaronder beheerders en ontwikkelaars die onbedoelde misconfiguraties willen voorkomen, DevOps-teams die geavanceerde monitoring willen integreren, en beveiligingsanalisten en 'threat hunters' die een basis zoeken voor het bouwen van complexe detectieregels.
Belangrijke voordelen van deze tool zijn:
- Sigma-compatibiliteit: Alle regels zijn in het Sigma-formaat, een universele standaard die eenvoudig kan worden omgezet naar diverse SIEM- en loganalyse-tools. Dit bespaart tijd en moeite.
- Actuele Informatie: Elke detectieregel bevat nuttige metadata zoals een beschrijving van de dreiging en aanbevolen preventieve acties, wat analisten helpt snel en effectief te reageren.
- Proactieve Updates: De catalogus wordt regelmatig bijgewerkt met nieuwe detecties op basis van analyses van actuele bedreigingen.
- Community-gedreven: Omdat het open-source is, profiteert de catalogus van de collectieve kennis van de beveiligingsgemeenschap, wat de veerkracht van alle gebruikers vergroot.
Hoe het werkt
De catalogus is direct toegankelijk via een openbare GitHub-repository. Gebruikers kunnen een Sigma-converter-tool, zoals sigma-cli, gebruiken om de regels te vertalen naar de specifieke zoektaal van hun eigen SIEM- of logboekentool.
De catalogus bevat reeds diverse voorbeelden van detecties, zoals:
- Verdachte instellingen: Wijzigingen in cruciale beveiligingsinstellingen, zoals het toevoegen van een IP-adres aan een ‘allowlist’.
- Administratief gedrag: Verdachte activiteiten door beheerders, zoals het kopiëren van belangrijke tokens.
- Aanvallergedrag: Bekende aanvalspatronen, zoals 'SMS pumping' pogingen.
Auth0 moedigt de beveiligingsgemeenschap aan om bij te dragen aan de catalogus door problemen te melden of zelf detectieregels aan te leveren. "Jouw bijdrage is belangrijk," benadrukt Maria Vasilevskaya, Principal Security Engineer bij Okta, en een van de drijvende krachten achter de catalogus. "Door je expertise te delen, help je de hele gemeenschap om veerkrachtiger te worden."
Meer over Security
Over Witold Kepinski
