Séparation de domaine et Renseignements sur les menaces

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • L’application Séparation de domaine est prise en charge dans le module disponible dans le Renseignements sur les menaces cadre de Réponse aux incidents de sécurité. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.

    Niveau de prise en charge : basique

    • Inclut la prise en charge de niveau Basique.
    • Logique métier : le fournisseur de service (SP) crée ou modifie des processus par client. Les cas d'utilisation reflètent l'utilisation appropriée de l'application par plusieurs clients SP dans une seule instance.
    • Le propriétaire de l'instance doit configurer la logique métier et les paramètres de données du produit minimum viable (MVP) par locataire comme prévu pour l'application spécifique.

    Exemple de cas d'utilisation : un administrateur doit être en mesure de donner les commentaires appropriés lorsqu'un enregistrement se ferme pour un locataire, mais pas pour un autre.

    Pour en savoir plus sur les niveaux de prise en charge, consultez la rubrique Prise en charge de Séparation de domaine par les applications.

    Vue d'ensemble

    Dans le module Threat Intelligence (dans le cadre de l’application Security Incident Response), Séparation de domaine permet aux fournisseurs de service (SP) de créer et de gérer le référentiel de Threat Intelligence comme suit :

    • Sources de menace et profils TAXII (Trusted Automated Exchange of Indicator Information)
    • Observables
    • Indicateurs de compromis
    • Modes / méthodes d’attaque par menace et gestion des tickets dans l’ensemble de la clientèle qu’ils servent avec des coûts opérationnels réduits et une meilleure qualité de service

    Le fait de disposer d’espaces de travail client distincts pour les workflows, les tableaux de bord, les rapports, etc., garantit que les données des clients sont séparées et ne sont jamais exposées à d’autres clients.

    Prise en charge de Domain Separation dans Renseignements sur les menaces par version

    Séparation de domaine pour le module Threat Intelligence (dans le cadre de l’application Réponse aux incidents de sécurité ) couvre les fonctionnalités du produit suivantes :
    • Les observables d’incident de sécurité sont dirigés vers le domaine approprié de l’utilisateur dont l’ID/les informations d’identification/le champ d’application génère l’incident. Les observables extraits de l’incident sont stockés dans le domaine de l’incident de sécurité.
    • Mise en place de profils de service TAXII pour télécharger une ou plusieurs collections TAXII qui offrent des flux d’informations sur les cybermenaces. La configuration est stockée dans le domaine sous lequel le profil est défini.
    • Configurer le téléchargement des flux de menaces dans le référentiel IOC dans le domaine sous lequel la configuration est effectuée.
    • Création de modes/méthodes d’attaque dans le domaine de la source de renseignements sur les menaces qui fournit automatiquement les informations ou dans le domaine sous lequel un nouveau mode/méthode d’attaque est ajouté manuellement par l’utilisateur
    • Création de tickets pour une enquête à long terme sur les incidents, les observables, les CI, les utilisateurs et les indicateurs de compromission (IOC) associés au ticket. Le ticket est stocké dans le domaine créé par l’utilisateur.
    Remarque :
    Dans tous les cas ci-dessus, les principes fondamentaux de visibilité dans des domaines distincts de la NOW Platform s’appliquent. Comme toujours, un incident dans le domaine parent peut faire référence à des artefacts dans le domaine enfant, mais pas l’inverse.

    Comment fonctionne Séparation de domaine dans Renseignements sur les menaces (dans le cadre de Réponse aux incidents de sécurité)

    Threat Intelligence fait partie de Security Incident Response aux niveaux Professional et Enterprise, mais pas avec le niveau Standard. Par conséquent, un plugin séparé est nécessaire. Le module Threat Intelligence (dans le cadre de l’application Réponse aux incidents de sécurité ) crée et gère les informations de Threat Intelligence associées aux incidents de sécurité dans une organisation. Les cas d’utilisation suivants prennent en charge la séparation par domaine :

    • Création des observables d’incident de sécurité au moment de la création de l’incident
      • À partir d’analyseurs d’e-mails (basé sur la plateforme, hameçonnage signalé par les utilisateurs, personnalisé)
      • À partir d’applications dans des magasins tiers Gestion des informations et des événements et de sécurité (SIEM)
      • Saisie manuelle par l’analyste SOC
    • Collecte d’observables à partir de sources de flux de menaces - Sources de renseignements sur les menaces à partir de collectes TAXII
    • Gérer les observables d’incident de sécurité
      • Associer des observables à des indicateurs connexes
      • Associer des observables à des incidents de sécurité
      • Associer des observables à des observables enfants
      • Associer l’observable à la source du flux de menaces
      • Ajouter des annotations de sécurité aux observables
    • Gérer les indicateurs de compromission
      • Associer des indicateurs à des observables connexes
      • Associer les indicateurs au mode/méthode d’attaque
      • Associer des indicateurs à des types d’indicateurs
      • Associer des indicateurs à une source de flux de menaces
      • Ajouter des annotations de sécurité aux indicateurs
    • Gérer les tickets
      • Créer un ticket (manuellement ou à partir d’un incident)
      • Modifier un nouveau ticket pour ajouter des détails (choisir le type et la gravité du ticket, ajouter des incidents, des observables, des éléments de configuration, des utilisateurs, des indicateurs)
      • Supprimer un ticket

    Configuration de Domain Separation

    La configuration de Séparation de domaine pour Threat Intelligence ne nécessite aucune étape supplémentaire. Toutes les tables Threat Intelligence acquièrent la colonne Domaine une fois que l’instance est séparée par domaine.

    Données séparées par domaine

    Les données peuvent être séparées par domaine, ce qui signifie :

    • Les observables d’un incident de sécurité dans un domaine ne peuvent pas être affichés à partir du champ d’application d’autres domaines.
    • Les indicateurs de compromission dans un domaine ne peuvent pas être visualisés à partir du champ d’application d’autres domaines.
    • Les modes/méthodes d’attaque associés à un domaine ne peuvent pas être affichés dans le champ d’application d’autres domaines.
    • Les profils de service TAXII associés à un domaine ne peuvent pas être affichés à partir du champ d’application d’autres domaines.
    • Les sources de renseignements sur les menaces associées à un domaine ne peuvent pas être affichées dans le champ d’application d’autres domaines.
    • Les tickets associés à un domaine ne peuvent pas être affichés dans le champ d’application d’autres domaines.
    Les propriétés de Threat Intelligence sont définies au niveau global et ne sont donc pas séparées par domaine. Les paramètres sont les suivants :
    • Nom du domaine pour récupérer des informations supplémentaires pour les adresses IP/URL
    • Clé API à utiliser pour la récupération
    • Recherche des tables IoC locales avant l’envoi au scanner distant
    • Nombre de jours durant lesquels les observables locaux sont pris en compte
    • Marquer un mode/une méthode d’attaque comme inactif lorsqu’il n’est pas reçu de sources de renseignements sur les menaces
    • Marquer un indicateur comme inactif lorsqu’il n’est reçu d’aucune source pendant un nombre de jours spécifié

    Configuration

    Tous les aspects de la configuration de la fonctionnalité Threat Intelligence sont autonomes dans un environnement séparé par domaine.

    Les tâches suivantes peuvent être configurées par domaine :

    1. Création de profils de service TAXII
      • Choisir une configuration du service Discovery
      • Choisir une configuration de service de collecte : affecter des rôles à des utilisateurs et à des groupes d’utilisateurs
    2. Création de sources de renseignements sur les menaces
      • Configurer le service REST qui fournit les informations de renseignement sur les menaces
      • Planifier le téléchargement des informations de Threat Intelligence
      • Choisir les informations sur les détails de la menace à affecter à la source
    3. Création de modes/méthodes d’attaque (manuel)
      • Source, type de programme malveillant, mécanisme d’attaque, type d’acteur de menace, description, traitement, effet escompté, premier observé, dernier observé
      • Indicateurs associés, mode/méthode d’attaque enfant, incidents de sécurité associés
        Remarque :
        Les modes/méthodes d’attaque sont également créés automatiquement à partir des sources de flux de menaces.
    4. Définition de listes par défaut pour les catégories d’informations sur les menaces suivantes :
      • Mécanismes d’attaque
      • Méthodes de Détection
      • Actualise
      • Types des indicateurs
      • Effets souhaités
      • Notifications
      • Types des observables
      • Définitions de limite d’évaluation
      • Types d’acteurs de menace
      • Motivations de l’attaque
      • Types d’infrastructure
      • Options de logiciel malveillant
      • Types de malware
      • Types de rapport
      • Rôles d’acteur de menace
      • Types d’outil

    Comment les domaines de locataire gèrent-ils leurs propres données d’application ?

    • Les propriétaires de domaines locataires peuvent créer leurs propres profils de service TAXII.
    • Les propriétaires de domaines locataires peuvent créer leurs propres sources de renseignements sur les menaces.
    • Les propriétaires de domaines locataires peuvent créer leurs propres modes/méthodes d’attaque.
    • Les propriétaires de domaines locataires peuvent créer leurs propres listes par défaut pour les catégories d’informations sur les menaces.
    Remarque :
    La logique métier et les processus permettent de séparer les calendriers de téléchargement des sources de renseignements sur les menaces par domaine propriétaire de l’instance.