Transcript
Good morning, good afternoon, everyone. This is Bassem Mohamed. I'm going to take you through native change detection using workflows today. So this is going to be our agenda. So I'm going to start with an introduction about myself and then the definition of the risks and then how can we do a native change detection as well as how this could enhance your identity thread and thread detection and response. What is the solution that we are proposing and a demo for a solution, some tips and tricks and the questions might be on the blog that I'm going to share in the developer community. So who am I? I'm like an Egyptian living in Germany since six years. I'm a family man. I have like a seven years old boy. I'm supporting a big fan of football, soccer ball. And I'm a big fan of Liverpool. I'm very passionate about cybersecurity. So I started my career long back as a service consultant. Like I spent five years doing service consultation for IAM and then three and a half years as a solution architect in one of the biggest bank in Germany. And finally, I have been with SailPoint for three years as a customer success engineer. So in order to know more about our team and what customer success engineering are doing, so I would encourage you to go to learn more about TSE. So if you go to the compass, just log into the compass. And even if you don't have an account, you can go here to community and then from community go to the customer success engineering. And you will know more about what we are offering and who we are. We have here like FAQs about like what are the questions that most of the customers are asking and some answers about it. Yeah. So let's start our presentation. So what is a native exchange? So native exchange are like any changes that are made directly through the application. Maybe by administrator or privileged users. So they can change account attributes. So create accounts, delete accounts or change any of the potential sensitive accounts attributes. Like if you have an account type and you have a normal account and someone have changed this account from normal account to a privileged account. So this probably will cause some problems in your environment and could pose some risk. And last but not least, adding some entitlements and removing entitlements out of the scope of the identity security cloud processes that you have defined. So what kind of risk is that we could face? So first we will lose some visibility. So whatever we are having now we are trying to control in our identity security cloud is not equivalent to what is in the native system. So we are losing like we have a compliance issue. We are losing like maybe some privilege access has been elevated. We don't know. So we are losing visibility. This also could lead to inappropriate or request and approval process. So someone got an access or an access removed from his account and no one has approved it. So this will also could lead to some compliance issue and audit findings at the end because this could tamper the audit trail or this also could cause like unauthorized modification to the account. So you cannot prove it. Also elevated access. So this could be like an indication something wrong within your environment and it's a risk if an account just got an admin privilege and he is not sufficient to have this admin privilege. So that's also another risk. Last but not least, if you have a service account and an entitlement has been removed from the service account, this could cause some like daily operation and some operational disruptions to your current daily business and performance. So it could cause like business continuity issues. It could cause like performance and operations issues. So all these risks that we would like to fix and to avoid in the future and in our solution. So what is the native change detection? Native change detection is, it's like a mechanism. It's a mechanism in Identity Security Cloud to enhance and to keep monitoring the current changes that made to your account outside of ISC umbrella. So we need to early detect and identify any threat for some of the mentioned security posture. We need also to make sure that any changes that haven't out of band or detected and we have some notification and alerts about it. So using the native change, we can monitor the changes in the account attributes and entitlement that could be added and could be removed and also the non-entitlement attributes. So how this could enhance the organizational identity threat detection and response strategy? So for whom who doesn't know what is identity threat detection and response, so it's like one of the cybersecurity discipline that includes the best practice standards and the framework in securing your identity's accounts and identity's access as well. So it could be like a part of the zero trust cybersecurity model and it adds an extra level of an identity and access management security. So how this could help us? So while integrating the native change detection with identity threat detection and response, this could enhance the security strategies that you have. First, it could give you the ability to detect and to response to any security incident promptly and effectively. It will also give you the visibility and enable you to take some proactively actions for any unauthorized change that happened in for your accounts and entitlements. So how this could happen? So by configuring and integrating your native change detection to your ITDR, it will enable you to automate the alerts and the notifications that sends to the security admins. It will also give you some rollback mechanism. So if an access was added and this access was unauthorized, so you can roll back this access and if an access got removed and this access is actually needed for this account, so you can re-add this access. And it's also doing some continuous monitoring to analyze if there is any native change that happened into your organization. You need to be aware and the security team need to be aware of this. So how to configure the native change detection? So any administrator can log into the Identity Security Cloud as an administrator. And then they can go to the sources and in the sources that they would like to enable the native change detection, they can edit the source configuration and go to the native change detection and enable it. So something like this. Let me demo it quickly to you. So connections, sources. And then pick up the source that you'd like to enable the native change detection for. And then edit the configuration and go here to the bottom and you'll find if you would like to enable the native change detection or disable it and for which operations that you would like to monitor the native change. So you can monitor it for account creation, account update, and account deletion. And if you would like to monitor for the entitlements attributes and non-entitlement attributes as well. And you need to pick it up and then save. And once you save, it's already whenever any kind of native change detection is being detected, this will trigger an event. Okay. So what is the native change data that we are expecting that the system or ISC would send us and will provide it to us so we can process? So we are, I'm going to concern, I'm concerned here in this presentation with the native change account updates. So if we go to the developer community and then, so let me take it from the identity security cloud. So yeah, extendability and then go to event trigger. Then if you walk down here to our available event triggers, let's check for native change updates, native change account update. And this will give you like when an account got updated, the account aggregation will detect that some updates happened to the account and this will trigger an event. So this event will have an account data and source data and identity data as well as it will have any entitlement data that has been removed or that was added. And also will have the non-entitlement attributes. So I'm expecting or you should expect something like this example. So I have here identity data, the identity manager, the manager name and the manager ID and the manager email and then the identity name, alias, ID and the identity email. And then if the account was removed, you will find the account data in this object. And if the entitlement has been added, this is the object that you will find the data for the newly added entitlement. And you're going to find also source information like who's going to be the source owner if you would like to send him a notification or an alert and what is his email address, what is the source name and what is the source metadata. And here also find what kind of change types that you have like if entitlement was added, entitlement was removed or attribute has been changed. And some more additional values that you might utilize for your use case. Cool. So what are we trying to fix here? So usually for correlated accounts, how can we process this event? We are going to process this event by sending a notification or you can create a inbox workflow to send a notification to the users or the identity admin, sorry, the identity manager. You can also send some emails to security team like these stickers, something has happened to this account out of like our proceeds, our defined proceeds. We can auto-rebook if an entitlement was added or we can re-add it again automatically if something was removed. For the correlated accounts, since we have the account mapped to an identity, so we can create a micro-certification and assign this micro-certification with all the out-of-band added entitlements to the identity manager and then we let the identity manager decide if he would like to maintain this entitlement for this identity or he would like to revoke all of them or some of them. Yeah, and last but not least, we can re-add the removed entitlements again, just in case if these entitlements are marked as requestable in Identity Security Cloud. But we are going to face a challenge with uncorrelated accounts. So for uncorrelated accounts, because the account is not mapped to an identity, so what we can do only is send notification as a correlated account and also auto-rebook an entitlement and re-add entitlement. But what if I need someone to review if this added entitlement is really needed or not? How can I do it? So we cannot create a micro-certification for uncorrelated account and how can we proceed with this? So no one can review an uncorrelated account? No. And this is how it comes our solution. So the solution is going to be the following. So first, we have a dynamic form. I just called it like native change detection form. And I have created two workflows, one for the added entitlements and one will be detected and triggered by the removed entitlement. What can we offer or this workflows or this full solution can offer? So we can offer a form that we can pass to this form all the uncorrelated account data and assign this form to the source owner and let the source owner decide if this uncorrelated account would like or supposed to have this out-of-band added entitlement or not. So he can maintain it or revoke it. We can also re-add any removed entitlement. So just imagine that you have an uncorrelated account and this uncorrelated account has an entitlement that it's a service account so it should have some privilege مرتبط لكي يترك المساعدة يذهب ويخرج شخصًا من مكان ما entitlement in order to let the service go. تخلص هذا المرتبط هذا سيسبب في إستمرار شركة المصدر يمكن أيضًا إضافة مرة أخرى يمكننا التحقق من هذا ويمكننا إضافة مرة أخرى هذا المرتبط إلى الوصف غير مرتبط كما هو الوصف المرتبط يمكننا تخلص المصدر المرتبط إلى الوصف المرتبط ويمكننا إرسال إشارة في نهاية المرتبط مع جميع الأدوات التي تم إختيارها أثناء هذا المرتبط لكل شركة لذلك أولًا دعني أخذك من حلول قبل أن أذهب للتحديد لذلك هنا لدي مصدر المصدر المرتبط لذلك هذا هو مثل شكل التحديد المرتبط لقد صنعته كشكل ديناميكي لذلك سيكون شيئًا مثل هذا ليس صعبًا ولكنه يحتوي على نظرية خلفية لذلك أحتاج إلى إذا لم يكن هناك إسم المصدر إسم المصدر لا يجب أن يكون فارغًا ولا يجب أن يكون إسم الوصف فارغًا فقط أقوم بوضع قيمة الوصف التي أحصل عليها من نظام العمل لذلك من نظام العمل سأحصل على إسم المصدر سأحصل على إسم المصدر اسم المصدر وإثبات المصدر وبعض التفاصيل عن إسم المرتبط مثل إسم المرتبط قيمة ومصدر إذا كان هناك فقط أنني أزيل أي تغييرات التي حصلت على هذا لذلك سيكون فقط قراءة فقط لا يمكن أحد أن يغير أي من هذه والتي لديها أسفل التفاعلين مباشرة من نظام العمل الذي تم تغييره وأنا أقوم ببعض التحقيقات لإظهار وإخفاء بعض القيم لذلك هذا ما يمكننا أن نتوقع لذلك سوف نكون لدينا نوع من الأحداث نعم هذا هو مباشرة من نظام العمل سيكون مباشرة واحد منهم سيظهر قيمة ولدينا إسم المصدر وكل الأشياء المذكورة سأظهرها في لحظة حسنًا ومن نوع العمل لدي أثنين من العمل الأول الذي سيكون مباشرة عندما يكون هناك إضافة إبتكار لذلك عندما يكون هناك إضافة إبتكار سأتحقق هنا سأتحقق من المصدر المرتبط إذا كان هنا سأدفع مثل موقع الوقت أو مقارنة لتحقيق إنه مثل أنني أقوم بذلك لأيامين وعند استخدام مطالبة http سأقوم بإطلاق مصدر لتخلص من التحقيقات وسأنتظر لحظة ثم أدفع التحقيقات وإرسال الإيميل مع جميع أجزاء التحقيقات ولكن إذا كان هذا المصدر مصدر غير مرتبط سأقوم بإرسال التحقيقات إلى المصدر مثل هذا هو المصدر سأوضحه للمصدر وقامت بذلك هذا هو اسم المصدر مصدر واسم المصدر وهذا هو اسم المصدر سأقوم بإرسال القيم من مصدر التحقيقات التي تغير مستوى العمل وهنا سأنتظر التحقيقات التي ستأخذها حتى تحفظها أو تحفظها إذا كانت التحقيقات مرتبطة تحفظها سأذهب إلى هذا المصدر وأحصل على الوقت الآن وأرسل إيميل مع هذا التحقيق الذي تم أخذه في الوقت المناسب ولكن إذا كانت تحفظه سأسمع باستخدام مصدر التحقيقات التحقيقية لتحفظ هذا المصدر وأيضًا سأرسل إيميل هذا هو في حال تم إضافة تحقيق في حال تم إزالة التحقيق لدي نفس اللوجد ولكن هنا لا يوجد مجموعة أخرى هنا أو سأقوم بإرسالها سأحصل على كل التحقيقات التي تم إزالتها سأضعها على المصدر لن أتفقد إذا كانت التحقيقات التي تم إزالتها كانت مجموعة أو مجموعة غير مجموعة لا كلاهما سيتعاملون بنفس الشيء وسأتفقد مجموعة التحقيقات التي ستأخذ المستخدم أو المسؤول حتى إذا تم إعادة تحفيز التحقيق سأذهب بهذه الطريقة وستحقق الوقت الحالي وسأضعه على مصدر الإيميل الذي سأرسله إذا كانت تحفظه لذلك سأتحفظ أسف إذا تم إعادة تحفيز التحقيق لذلك سأقوم بإعادة تحفيز التحقيق مرة أخرى وهذا وانتقل الوقت لتحفيز التحقيق وإرسال إيميل مثل كل التحفيزات نعم هنا وهذا يعطي الحقيقة أن التحفيز يمكن إعادته مرة أخرى حسنًا رائعًا لذلك هذا هو تصميم العمل الذي ذكرته الآن لذلك لأنني أحتاج إعادة تحفيز التحقيق والوقت ينطلق إذا كنت تحتاج إلى معرفة المزيد عن هذا العمل والإعادة لكل العمل وكذلك تصميم التحفيز يمكنك الذهاب إلى مجتمع التطور حسنًا ومن مجتمع التطور ستجد هذا الوصف هنا وفي الوصف لديه رواية خطوة بخطوة ماذا يجب عليك فعله لكي تحمل وتصميم هذا الوصف كل شيء سيكون في الوصف التطوري هنا وعلى الأسفل هنا يمكنك تحديد صفحة الرسوم وكذلك الاثنين من العمل يمكنك فقط تحميلهم مباشرة جيد لذلك دعنا نذهب إلى الديمو دعنا نعود إلى هنا نعم لذلك سأقوم بإعادة الاثنين من العمل الآن وسأذهب إلى الوصف التطوري لذلك أولا دعنا نتحقق من مستخدمات التجربة سأقوم بتجربة مع أماندر روث لذلك أماندر روث لديها مجموعة واحدة سأضع هنا مجموعة أخرى تدعى مجموعة اثنين خارج المنطقة وأيضا سأقوم بذلك لدي مواقع غير مرتبطة يدعى دعنا نختار واحد هذا هو بوب براون هذا هو بوب براون وهو فقط لديه تحقيق التجربة سأضع ايضا له مجموعة واحدة حسنًا لذلك هذا هو منطقتي التحقيقية لذلك هذا هو مجموعة اثنين هيا سأضع اضفت أماندر روث وبوب دعنا نختار بوب براون تطبيق حسنًا دعني أضيف شيئًا آخر إلى أماندر أيضًا حسنًا ثم دعنا نقوم بمجموعة لأن كل هذه المجموعة المضافة تم تحقيقها سنحصل على بعض الإيميلات هنا عن تحقيق تغيير طبيعي لذلك هذا هو الأول لذلك إنه مثل مرحبا سيد المصدر نحن لدينا التطبيق لقد وجد هذا مثل مجموعة غير مضافة التي تم إضافتها إليه لذلك دعنا نحاول أن نفتح هذه المجموعة لذلك هنا يقول أن طبيعة الأحداث غير مضافة تم إضافتها إليها هذا هو اسم الحكومة وهذا هو شرح الحكومة اسم المصدر هذا هو مصدر الحكومة وهذا هو مجموعة أيضًا التي قمت بإضافتها مثلًا بينما أحاول التجربة ومن ثم يسألني ماذا هو التجربة إذا كنت تحتاج إلى تحقيقها أو تحقيقها لذلك دعنا نقول أنني سأحقيقها تحقيق المشروع حسنًا وسأقوم بإستعجاب هذا حسنًا عندما يتم إستعجاب هذا يجب أن أحصل على مساعدة هنا حسنًا لذلك هذا هو رسالة أن هذا الشخص قام بإزالة هذا المستخدم أو هذا المصدر من المجموعة الثانية حسنًا وأيضًا لذلك هذا هو تأكيد أن الحركة التي قامت بإزالة هذا المستخدم وهذا هو تأكيد العمل وهذا هو الوقت والوقت ورسالة أخرى ذهبت إلى ربما الرئيس أو رئيس أماندا يقول مثلًا حسنًا أن أماندا لديها دوماً أو بشكل طبيعي لديها دوماً تحقيقات حسنًا تحقيقات ومساعدة وهناك تحقيق الآن مفتوح لهم وهذا هو مصدر التحقيق للمجموعة الثانية حسنًا لذلك تطبيق التحقيق يدعى تحقيق مفتوح لأماندا الذي تم صنعه ووضعه إلى رئيس الوثائق لذلك دعني أذهب إلى التطبيقات الآن نعم هنا هو هذا هو وضعه إلى جيري بنيت إنه رئيس أماندا دعني أوضح هذا إلى نفسي دعني أذهب إلى التحقيق هنا هو لذلك لدي هنا تحقيق إذا كنت أدل على رئيس أماندا لذلك أحتاج حتى إلى التحقيق أو التحقيق من الثلاثة التحقيقات التي تم إضافتها خارج المجموعة ومن ثم صنع التحقيقات كل هذا كان في حالة تم إضافة التحقيق لذلك دعنا نحاول أن نعود ونحاول إزالة التحقيقات لذلك أين هو مصدر التحقيق هنا لذلك أعلم أن أماندا أو أي شخص دعنا نفتح هذا نعم دعنا نزيل كار نعم ونزيل دوجلوس حسنًا نقوم بإنقاذ هذا حسنًا دعنا نقوم بإعادة تحقيق جديد حسنًا هذا ما يتوقعه لذلك تحقيق عمل لقد اكتشف أنه كان هناك مثل إزالة التحقيق خارج المجموعة للسيارة دعني أفتح هذا المصدر وهذا هو نوع الوضع هو مثل إزالة التحقيق خارج المجموعة وهذا كل التفاصيل المشتركة والتفاصيل المشتركة وهنا يجب أن أقوم حتى معرفة إزالة التحقيق يمكنني القول أنه ليس محتاجًا حسنًا أو للدوجلوس سأقول لا أرجوك تضيفه مجددًا لذلك هذا هو الرسالة الأولى التي أتت لكارل وهذا مثل القرار الذي تم إقناعه وإزالة التحقيق ليس محتاجًا وهذا هو موقع الوقت ولكن للدوجلوس لقد تم إطلاق رسالة لإضافة مجموعة واحدة إلى دوجلوس وهذا مثل تأكيد وهذا مثل رسالة أرسلتها وقالت حسنًا أن القرار كان من أول مرة تضيف مجددًا مجددًا مجددًا مجددًا أرجوك وهذا هو موقع الوقت لذلك هذا هو كيف يعمل إذا كان لديك فعلاً خطوط وطرق بسرعة We're here, so. If you are facing a lot of, or experiencing a lot of native change detection, so, you can come to the workflow and start to narrow down the scope of the detection, like, okay, I don't need to detect for all the source accounts, but I need to detect only for the privilege accounts or accounts with a type equal X, or you can say, okay, I just need to monitor only changes to if these entitlements was got added or removed. So, you can just play around within this field here. Come on. Yeah, here. So, you can just play around and say what should be added in the scope of the workflow or not. And also, a kind of limitations. So, if the entitlement that was added is a part of an access profile or a role, so, this means that the certification for the created accounts will not be created or it will be created and it's directly got closed. It's a kind of gap or limitation. I'm working on it and I'm gonna fix it in the next version. Also, the second limitation, if the entitlement is marked as unrequestable, okay, so, this means that if you take a decision to re-add the entitlement again, it will not be added. So, also, this is, I'm working on sending a notification if the entitlement request to flag is false. So, I'm gonna send to them in order to change it first and then go back and re-add the entitlement again. So, I'm working on it. Just expect a new version from the solution soon. Okay. Okay. Yeah, so, for any questions, you can just go to the blog and just leave the questions there and I'm gonna answer it. I'm just monitoring this one and watching it. If you have any kind of other use cases, please let me know in the comments in this blog. ♪ Hey, hey, hey, hey, hey, hey, hey, hey, hey, hey, hey, hey, hey ♪ ♪ Hey, hey, cave to the junior high school Kamikaze ♪