Okta, azienda statunitense specializzata in Identity and Access Management (IAM), ha deciso di aprire alla community di sicurezza informatica un nuovo strumento pensato per rafforzare la difesa degli ambienti digitali: un catalogo open-source di regole di rilevamento per Auth0, la nota piattaforma di gestione delle identità che permette a sviluppatori e team DevOps di gestire in modo sicuro l’accesso a siti web, applicazioni e dispositivi.

Le regole, basate su Sigma, permettono di individuare tentativi di compromissione degli account, configurazioni errate e comportamenti sospetti analizzando i log degli eventi. Con questa iniziativa, Okta mira a fornire a team di sicurezza, amministratori e sviluppatori un set di query pronte all’uso e facilmente integrabili nei principali strumenti di monitoraggio, per velocizzare l’individuazione delle minacce e ridurre i tempi di risposta agli incidenti.

Attualmente, la repository contenente esempi di configurazione, codice e casi d’uso è disponibile sul profilo GitHub di Auth0.

Lo scopo di Okta, mettendosi a disposizione della comunità open-source, è quello di offrire un supporto concreto ai team che si occupano di logging e di eventi legati ai findings di Auth0, consentendo loro di accelerare l’analisi e concentrarsi sul blocco tempestivo delle potenziali minacce. Prima di questo rilascio, infatti, gli esperti del settore potevano contare unicamente su regole preesistenti e su template pubblici messi a disposizione dalla stessa Okta.

Il Principal Security Engineer di Okta, Maria Vasilevskaya, afferma in seguito al rilascio:

This catalog, now available on GitHub, is a powerful complement to Auth0’s Security Center and existing security monitoring alerting offerings. The Auth0 Customer Detection Catalog allows security teams to integrate custom, real-world detection logic directly into their log streaming and monitoring tools, enriching the detection capabilities of the Auth0 platform. The catalog provides a growing collection of pre-built queries, contributed by Okta personnel and the wider security community, that surface suspicious activities like anomalous user behavior, potential account takeovers and misconfigurations.

Questo catalogo, ora disponibile su GitHub, è un potente complemento al Centro di sicurezza di Auth0 e agli strumenti esistenti di monitoraggio e allerta di sicurezza. Il Catalogo di rilevamento clienti Auth0 consente ai team di sicurezza di integrare logiche di rilevamento personalizzate e realistiche direttamente nei propri strumenti di monitoraggio e streaming dei log, arricchendo le capacità di rilevamento della piattaforma Auth0. Il catalogo fornisce una raccolta in continua crescita di query predefinite, fornite dal personale Okta e dalla più ampia comunità di sicurezza, che evidenzano attività sospette come comportamenti anomali degli utenti, potenziali appropriazioni di account e configurazioni errate.

Un rilascio che, secondo Okta, è fortemente indirizzato ad amministratori di tenant, sviluppatori, team DevOps, analisti di sicurezza e threat hunter.

Come si legge anche nelle repository ufficiali di GitHub, una volta sviluppata la propria regola di detection, sarà possibile tramite la CLI di Sigma esportarla per il proprio SIEM ed utilizzarla per analizzare i propri findings. Ecco di seguito un esempio di regola convertita in un formato leggibile da Splunk.

Questa iniziativa segna un passo importante verso una sicurezza più aperta e collaborativa. Rendendo il catalogo accessibile e invitando la community a contribuire, Okta promuove un modello di difesa condivisa in cui regole e strumenti crescono insieme alle minacce, offrendo a tutti gli utenti Auth0 una base più solida e flessibile per il rilevamento degli attacchi.