Domain Separation und Threat Intelligence

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Die Domänentrennung wird im Modul Threat Intelligence unterstützt, das als Teil von Security Incident Response verfügbar ist. Mit der Domain Separation können Sie Daten, Prozesse und Verwaltungsaufgaben in logische Gruppierungen, sogenannte Domänen, aufteilen. Sie können verschiedene Aspekte dieser Trennung steuern, einschließlich der Benutzer, die Daten sehen und darauf zugreifen können.

    Support-Stufe: Basis

    • Umfasst die Basis-Support-Stufe.
    • Geschäftslogik: Der Service Provider (SP) erstellt oder ändert Prozesse für einzelne Kunden. Die Anwendungsfälle spiegeln die ordnungsgemäße Verwendung der Anwendung durch mehrere SP-Kunden in einer einzigen Instanz wider.
    • Der Besitzer der Instanz muss die MVP-Geschäftslogik (Minimum des lebensfähigen Produkts) und die Datenparameter pro Mandant wie erwartet für die spezifische Anwendung konfigurieren.

    Beispiel-Anwendungsfall: Ein Administrator muss in der Lage sein, Kommentare beim Schließen eines Datensatzes für einen Mandanten obligatorisch zu machen, für andere hingegen nicht.

    Weitere Informationen zu den Supportstufen finden Sie unter Anwendungssupport für Domänentrennung.

    Übersicht

    Im Modul Threat Intelligence (als Teil der Anwendung Security Incident Response) können Service Provider (SPs) durch Domänentrennung das Threat Intelligence-Repository auf folgende Weise erstellen und verwalten:

    • Bedrohungsquellen und TAXII-Profile (Trusted Automated Exchange of Indicator Information).
    • Erkennbare Elemente
    • Kompromittierungsindikatoren
    • Bedrohungsangriffsmodi/-methoden und Fallverwaltung für den gesamten Kundenstamm mit niedrigeren Betriebskosten und höherer Servicequalität

    Durch separate Kundenarbeitsbereiche für Workflows, Dashboards, Berichte usw. wird sichergestellt, dass Kundendaten getrennt und niemals für andere Clients verfügbar gemacht werden.

    Unterstützung für Domain Separation in Threat Intelligence nach Versions-Release

    Die Domänentrennung für das Threat Intelligence-Modul (als Teil der Anwendung Security Incident Response ) deckt die folgenden Produktfunktionen ab:
    • Erkennbare Elemente für Security Incidents werden an die entsprechende Domäne des Anwenders weitergeleitet, dessen ID/Anmeldeinformationen/Umfang den Incident generiert. Die aus dem Incident extrahierten erkennbaren Elemente werden in der Domäne des Security Incident gespeichert.
    • Einrichten von TAXII-Serviceprofilen zum Herunterladen einer oder mehrerer TAXII-Sammlungen, die Feeds mit Informationen zu Cyberbedrohungen bieten. Die Konfiguration wird in der Domäne gespeichert, unter der das Profil eingerichtet wird.
    • Setup des Downloads von Bedrohungs-Feeds in das IoC-Repository in der Domäne, unter der die Konfiguration durchgeführt wird.
    • Erstellung von Angriffsmodi/Angriffsmethoden in der Domäne der Threat Intelligence-Quelle, die die Informationen automatisch bereitstellt, oder in der Domäne, unter der ein neuer Angriffsmodus/eine neue Angriffsmethode manuell vom Anwender hinzugefügt wird
    • Erstellung von Fällen für die langfristige Untersuchung von Incidents, erkennbaren Elementen, CIs, Benutzern und Kompromittierungsindikatoren (IoC), die dem Fall zugeordnet sind. Der Fall wird in der vom Benutzer erstellten Domäne gespeichert.
    Hinweis:
    In allen oben genannten Fällen gelten die übergeordneten Prinzipien der Transparenz in getrennten Domänen in der NOW Platform. Wie immer kann ein Incident in der übergeordneten Domäne auf Artefakte in der untergeordneten Domäne verweisen, aber nicht umgekehrt.

    Funktionsweise der Domänentrennung in Threat Intelligence (als Teil von Security Incident Response)

    Threat Intelligence ist Teil von Security Incident Response in den Stufen „Professional“ und „Enterprise“, aber nicht in der Stufe „Standard“. Daher ist ein separates Plugin erforderlich. Das Threat Intelligence-Modul (als Teil der Anwendung Security Incident Response ) erstellt und verwaltet die Threat Intelligence-Informationen, die Security Incidents in einer Organisation zugeordnet sind. Die folgenden Anwendungsfälle berücksichtigen die Domänentrennung:

    • Erstellung von erkennbaren Elementen für Security Incidents zum Zeitpunkt der Incident-Erstellung
      • Von E-Mail-Parsern (plattformbasiert, von Anwendern gemeldetes Phishing, anwenderdefiniert)
      • Aus Anwendungen in SIEM-Speichern (Security Information and Event Management) von Drittanbietern
      • Durch manuelle Eingabe durch den SOC-Analysten
    • Sammlung von erkennbaren Elementen aus Bedrohungs-Feed-Quellen – Threat Intelligence-Quellen aus TAXII-Sammlungen
    • Verwalten Sie erkennbare Elemente für Security Incidents
      • Ordnen Sie erkennbare Elemente zugehörigen Indikatoren zu
      • Erkennbare Elemente Security Incidents zuordnen
      • Ordnen Sie erkennbaren Elementen untergeordneten erkennbaren Elementen zu
      • Erkennbares Element der Bedrohungs-Feed-Quelle zuordnen
      • Fügen Sie erkennbaren Elementen Sicherheitsanmerkungen hinzu
    • Kompromittierungsindikatoren verwalten
      • Ordnen Sie Indikatoren zugehörigen erkennbaren Elementen zu
      • Ordnen Sie dem Angriffsmodus/der Angriffsmethode Indikatoren zu
      • Ordnen Sie Indikatoren Indikatortypen zu
      • Ordnen Sie Indikatoren der Bedrohungs-Feed-Quelle zu
      • Fügen Sie -Indikatoren Sicherheitsanmerkungen hinzu
    • Fälle verwalten
      • Fall erstellen (manuell oder aus einem Incident)
      • Neuen Fall bearbeiten, um Details hinzuzufügen (Falltyp und Schweregrad auswählen, Incidents, erkennbare Elemente, Konfigurationselemente, Anwender, Indikatoren hinzufügen)
      • Löschen Sie einen Fall

    Domänentrennung – Einrichtung

    Das Einrichten der Domänentrennung für Threat Intelligence erfordert keine zusätzlichen Schritte. Alle Threat Intelligence-Tabellen erwerben die Spalte „Domäne“, nachdem die Instanz domänengetrennt wurde.

    Domänengetrennte Daten

    Daten können domänengetrennt sein. Das bedeutet:

    • Erkennbare Elemente von Security Incidents in einer Domäne können nicht im Bereich anderer Domänen angezeigt werden.
    • Kompromittierungsindikatoren in einer Domäne können nicht im Bereich anderer Domänen angezeigt werden.
    • Angriffsmodi/-methoden, die einer Domäne zugeordnet sind, können nicht im Bereich anderer Domänen angezeigt werden.
    • TAXII-Serviceprofile, die einer Domäne zugeordnet sind, können nicht im Bereich anderer Domänen angezeigt werden.
    • Einer Domäne zugeordnete Threat Intelligence-Quellen können nicht im Bereich anderer Domänen angezeigt werden.
    • Fälle, die einer Domäne zugeordnet sind, können nicht im Bereich anderer Domänen angezeigt werden.
    Threat Intelligence-Eigenschaften werden auf globaler Ebene festgelegt und sind daher nicht domänengetrennt. Die Einstellungen umfassen:
    • Der Domänenname zum Abrufen zusätzlicher Informationen für IP-Adressen/URLs
    • Der für den Abruf zu verwendende API-Schlüssel
    • Suche in lokalen IoC-Tabellen vor dem Senden an den Remote-Scanner
    • Anzahl der Tage, für die lokale erkennbare Elemente berücksichtigt werden
    • Markieren eines Angriffsmodus/einer Angriffsmethode als inaktiv, wenn er/sie nicht von Bedrohungsinformationsquellen empfangen wurde
    • Markieren eines Indikators als inaktiv, wenn er für eine angegebene Anzahl von Tagen von keiner Quelle empfangen wurde

    Konfiguration

    Alle Aspekte der Konfiguration der Threat Intelligence-Funktionen sind in einer domänengetrennten Umgebung eigenständig.

    Die folgenden Aufgaben können pro Domäne konfiguriert werden:

    1. Erstellung von TAXII-Serviceprofilen
      • Wählen Sie eine Discovery-Servicekonfiguration aus
      • Wählen Sie eine Sammlungsservicekonfiguration aus, um Anwendern und Gruppen von Anwendern Rollen zuzuweisen
    2. Erstellung von Threat Intelligence-Quellen
      • Konfigurieren Sie den REST-Service, der die Bedrohungsinformationen bereitstellt
      • Planen Sie den Download von Bedrohungsinformationen
      • Wählen Sie die Bedrohungsdetailinformationen aus, die der Quelle zugewiesen werden sollen
    3. Erstellung von Angriffsmodus/Angriffsmethoden (manuell)
      • Quelle, Malware-Typ, Angriffsmechanismus, Typ des Bedrohungsakteurs, Beschreibung, Handhabung, beabsichtigte Wirkung, zuerst gesehen, zuletzt gesehen
      • Zugehörige Indikatoren, untergeordneter Angriffsmodus/-methode, zugehörige Security Incidents
        Hinweis:
        Angriffsmodi/-methoden werden auch automatisch aus den Bedrohungs-Feed-Quellen erstellt.
    4. Einstellung von Standardlisten für die folgenden Kategorien von Bedrohungsinformationen:
      • Angriffsmechanismen
      • Discovery-Methoden
      • Feeds
      • Indikatortypen
      • Beabsichtigte Wirkungen
      • Benachrichtigungen
      • Erkennbare Typen
      • Quotengrenzdefinitionen
      • Typen des Bedrohungsakteurs
      • Angriffsmotivationen
      • Infrastrukturtypen
      • Malware-Fähigkeiten
      • Schadsoftwaretypen
      • Berichtstypen
      • Rollen des Bedrohungsakteurs
      • Tooltypen

    Wie Mandantendomänen ihre eigenen Anwendungsdaten verwalten

    • Besitzer der Mandantendomäne können ihre eigenen TAXII-Serviceprofile erstellen.
    • Besitzer der Mandantendomäne können ihre eigenen Threat Intelligence-Quellen erstellen.
    • Besitzer der Mandantendomäne können ihre eigenen Angriffsmodi/-methoden erstellen.
    • Besitzer der Mandantendomäne können ihre eigenen Standardlisten für Bedrohungsinformationskategorien erstellen.
    Hinweis:
    Geschäftslogik und -prozesse ermöglichen die Domänentrennung von Downloadzeitplänen für Threat Intelligence-Quellen nach Instanzbesitzern.