Domain Separation und Security Incident Response
Die Domänentrennung wird in Security Incident Response unterstützt. Mit der Domain Separation können Sie Daten, Prozesse und Verwaltungsaufgaben in logische Gruppierungen, sogenannte Domänen, aufteilen. Sie können verschiedene Aspekte dieser Trennung steuern, einschließlich der Benutzer, die Daten sehen und darauf zugreifen können.
Support-Stufe: Standard
- Umfasst die Basis-Support-Stufe.
- Geschäftslogik: Der Service Provider (SP) erstellt oder ändert Prozesse für einzelne Kunden. Die Anwendungsfälle spiegeln die ordnungsgemäße Verwendung der Anwendung durch mehrere SP-Kunden in einer einzigen Instanz wider.
- Der Besitzer der Instanz muss die MVP-Geschäftslogik (Minimum des lebensfähigen Produkts) und die Datenparameter pro Mandant wie erwartet für die spezifische Anwendung konfigurieren.
Beispiel-Anwendungsfall: Ein Administrator muss in der Lage sein, Kommentare beim Schließen eines Datensatzes für einen Mandanten obligatorisch zu machen, für andere hingegen nicht.
Weitere Informationen zu den Supportstufen finden Sie unter Anwendungssupport für die Domänentrennung.
Übersicht
In der Anwendung Security Incident Response ermöglicht die Domänentrennung Service Providern (SPs), SOC- (Security Operations Center) und Security Incident Response-Verfahren (SIR) für den Kundenstamm zu standardisieren, den sie bedienen, mit geringeren Betriebskosten und einer höheren Servicequalität. Separate Kundenarbeitsbereiche für Workflows, Dashboards, Berichte usw. stellen sicher, dass Kundendaten getrennt und niemals für andere Clients verfügbar sind.
| Release | Support-Stufe | Notizen |
|---|---|---|
| Genf, Helsinki | Kein Support | Initiierung der Domänentrennung auf Datenebene |
| Istanbul | Nur Daten | |
| Jakarta | Ebene 2 (Daten, Anforderer, Erfüller) | Neue Funktionen: Unterstützung für Integrationen von Drittanbietern mit Domänentrennung der Ebene 2 unter einer einzigen Integrationsinstanz, einschließlich Threat Intelligence-Integrationen |
| Kingston | Ebene 2 (Daten, Anforderer, Erfüller) | Neue Funktionen: Die Integration der Sichtungssuche für SIR ist mit mehreren Instanzen aktiviert, aber alle Instanzen befinden sich weiterhin unter einer einzigen Domäne. Beispiel: Wenn zwei Instanzen einer Splunk-Integration konfiguriert sind (SplunkCLOUD und SplunkCORP), werden beide weiterhin für Aktivitäten zur Reaktion auf Incidents in einer einzigen Domäne genutzt, in der die Implementierung ursprünglich konfiguriert wurde. |
| London | Ebene 2 (Daten, Anforderer, Erfüller) | Neue Funktionen: Alle Integrationen befinden sich in mehreren Domänen |
| Madrid | Ebene 2 (Daten, Anforderer, Erfüller) | Alle Integrationen können sich jetzt über mehrere Domänen erstrecken. Im obigen Beispiel kann SplunkCloud Domäne1 und SplunkCORP Domäne2 sein. |
| New York | Ebene 2 (Daten, Anforderer, Erfüller) | Alle Integrationen befinden sich in mehreren Domänen. |
| Orlando | Standard | Alle Integrationen befinden sich in mehreren Domänen. |
| Paris | Standard | Alle Integrationen befinden sich in mehreren Domänen. |
Die Domänentrennung für die Anwendung Security Incident Response umfasst die folgenden Produktfunktionen:
- Sicherheitswarnungen werden an die entsprechende Domäne des Benutzers weitergeleitet, dessen ID/Anmeldeinformationen/Bereich den Incident generiert und als Security Incident registriert ist.
- Warnungen generieren „erkennbare Elemente“, die statusbehaftete Eigenschaften oder messbare Events darstellen: Sicherheits-Workflows in der Domäne des Security Incident werden verwendet, um die Reaktion zu orchestrieren.
- Integrationen werden in der Domäne des Security Incident für die Antwortautomatisierung konfiguriert.
- Fähigkeiten werden in der Domäne des Security Incident für die Automatisierung der Reaktion konfiguriert. Zu diesen Funktionen (ab Kingston-Release) gehören:
- Bedrohungssuche
- Erkennbares Element ergänzen
- Konfigurationselement anreichern
- Laufenden Prozess abrufen
- Netzwerkstatistiken abrufen
- Anforderung blockieren
- Host isolieren
- Sichtungssuche
- E-Mails suchen und löschen
- In Beobachtungsliste veröffentlichen
- Ergebnisse aus der Antwortautomatisierung (z. B. Bedrohungssuche oder Sichtungssuche) werden in der Domäne des Security Incident gespeichert.
- Andere Security Incidents werden in derselben Domäne des Security Incident basierend auf einem gemeinsam genutzten Satz von erkennbaren Elementen mit Querverweisen versehen.
- Andere Benutzer werden in der Domäne des Security Incident referenziert.
- Konfigurationselemente werden in derselben Domäne wie der Security Incident referenziert.
- Manuelle Antwortaufgaben werden der Domäne des Security Incident hinzugefügt.
- Knowledge Base-Artikel und Ausführungsbücher werden in der Domäne des Security Incident referenziert.
- Security Incident Response-Metriken, die für Incidents in der Domäne relevant sind, werden in Dashboards sowie in der Berichterstellung angezeigt.
Hinweis:
In den vorherigen Fällen gelten die übergeordneten Prinzipien der Transparenz in getrennten Domänen in der NOW Platform. Wie immer kann ein Incident in der übergeordneten Domäne auf Artefakte in der untergeordneten Domäne verweisen, aber nicht umgekehrt.
Funktionsweise der Domänentrennung in Security Incident Response
Die Anwendung Security Incident Response verwaltet den Lebenszyklus eines Security Incident End-to-End. Die folgenden Anwendungsfälle sind für die Domänentrennung geeignet:
- Erfassung von Events und Warnungen, um Security Incidents zu erstellen, auf die der Analyst im Kunden-SOC oder MSP reagieren kann:
- E-Mail-Parser (plattformbasiert, von Benutzern gemeldetes Phishing, benutzerdefiniert)
- Deduplizierungs-Events/-Warnungen vor der Incident-Erstellung
- Automatische Extraktion von erkennbaren Elementen
- Anwendungen im SIEM-Store einer Drittpartei
- Ergänzung der an den Incidents beteiligten Artefakte (IP, URLs, Domänen, Datei-Hashes):
- Asset-Ergänzung (CMDB)
- Benutzer (Plattform)
- Automatisierung: Ergänzung erkennbarer Elemente (z. B. WhoIs)
- Untersuchen Sie die Incidents mithilfe der Artefakte und ihrer Reputation oder Zuordnung zu bekannten Bedrohungen
- Orchestrate: Playbooks und Knowledge Base-Artikel
- Automatisierung: Bedrohungssuche (z. B. VirusTotal), Sichtungssuche (z. B. Splunk), laufende Prozesse abrufen (z. B. Carbon Black)
- Beseitigen Sie die am Incident beteiligten bedrohungsbezogenen Artefakte basierend auf der durchgeführten Untersuchung
- Orchestrate: Playbooks und Knowledge Base-Artikel
- Automatisierung: E-Mails suchen und löschen (z. B. Microsoft Exchange), IP blockieren (z. B. Palo Alto Firewall)
- Effizienz von Vorgängen zur Reaktion auf Incidentsmessen
- Performance Analytics Dashboards: Produktivitäts- und Incident-Trends
- Rekonstruktion von Incident-Untersuchungsschritten aus Arbeitsnotizen
- Überprüfung nach Incident
Domänentrennung – Einrichtung
Das Einrichten der Domänentrennung für Security Incident Response erfordert keine zusätzlichen Schritte. Alle Security Incident Response -Tabellen erfassen die Domänenspalte, nachdem die Instanz domänengetrennt wurde.
Domänengetrennte Daten
Daten können domänengetrennt sein, was Folgendes bedeutet:
- Security Incidents in einer Domäne können nicht aus anderen Domänen angezeigt werden.
- Aus dem Security Incident extrahierte erkennbare Elemente werden in derselben Domäne platziert und können nicht aus anderen Domänen angezeigt werden.
- Bis zum Kingston-Release sind konfigurierte Drittanbieterintegrationen in der globalen Domäne vorhanden und für alle anderen Domänen in der Instanz zugänglich.
- Im Madrid-Release können Drittanbieterintegrationen pro Domäne konfiguriert und aktiviert werden. Dies bedeutet, dass die in einer Domäne aktivierte und konfigurierte Integration nicht in einer anderen Domäne genutzt werden kann.
- Automatisierungen, die für die erkennbaren Elemente mithilfe von Drittanbieterintegrationen ausgeführt werden (für Bedrohungsuntersuchung, Eindämmung oder Beseitigung), platzieren ihre Ergebnisse in der Domäne des Security Incidents und die Ergebnisse können nicht von einer anderen Domäne aus angezeigt werden.
- In einer Domäne erstellte Orchestration-Workflows sind in einer anderen Domäne nicht sichtbar.
- Fähigkeiten (wie in der Funktionsliste der vorherigen Fähigkeiten beschrieben), die aufgerufen werden, bleiben domänenübergreifend generisch, wobei die aufgerufene Fähigkeit domänenspezifisch implementiert wird. Beispielsweise kann eine Sichtungssuche für eine IP eine Splunk-Implementierung in einer Domäne und eine QRadar-Implementierung in einer anderen Domäne aufrufen.
Konfiguration
Alle Aspekte der Produktkonfiguration sind in einer domänengetrennten Umgebung in sich abgeschlossen. Das Setup kann für einzelne Domänen angepasst werden.
Hinweis:
Geschäftslogik und die Prozesse in Nr. 2 bis 5 unten können innerhalb der Mandantendomäne verwaltet werden.
Die folgenden Aufgaben müssen konfiguriert werden:
- Systemverwaltung
- Weisen Sie Benutzern und Benutzergruppen Rollen zu: Mit Security Incident Response installierte Benutzerrollen
- Installieren Sie mindestens ein Integrations-Plugin einer Drittpartei, um mit Security Incident Responsezu arbeiten: Security Incident Response-Integrationen
- Security Incident Response -Administration
- Rollen hinzufügen oder überprüfen: Mit Security Incident Response installierte Komponenten
- Konfigurieren Sie Gruppen und Benutzer: Erstellen Sie eine Security Incident-Gruppe
- Incident-Eskalationen einrichten: Eskalieren Sie einen Security Incident
- Richten Sie Risikopunktzahl-Rechner für Security Incidents ein: Security Incident-Rechner verstehen
- Servicelevel-Vereinbarungen einrichten: Erstellen Sie eine Security Incident Response SLA
- Richten Sie Prozessdefinitionen für Security Incidents ein: Security Incident Response-Prozessdefinition verstehen
- Richten Sie Prozesse für die Überprüfung nach Incidents ein: Verwalten von Aktivitäten nach Incidents
- E-Mail-Einstellungen für Security Incidents
- Legen Sie den Posteingang für die E-Mail-Analyse fest: Security Operations E-Mail-Analyse
- Richten Sie E-Mail-Parser für die Warnungserfassung ein: Erstellen Sie E-Mail-Parser in Security Operations
- Richten Sie E-Mail-Abgleichregeln für von Benutzern gemeldetes Phishing ein: Erstellen Sie Regeln, um von Benutzern gemeldete Phishing-Angriffe zu validieren
- Richten Sie Aktionen bei eingehender E-Mail ein: Aktionenbei eingehender E-Mail
- Einstellungen für das Security Incident-Playbook
- Überprüfen und richten Sie die Runbook-Dokumente ein: Erstellen Sie ein Security Incident Response-Runbook
- Security Incident-Workflows einrichten: Security Operations allgemeine Funktionalität
- Fähigkeitskonfigurationen
- Blockanforderung: Security Operations Integration - Block Request-Fähigkeit
- E-Mail suchen und löschen: Security Operations-Integration – E-Mail-Such- und Löschfunktion
- Konfigurationselement anreichern: Integration von Security Operations – CI-Fähigkeit ergänzen
- Erkennbares Element anreichern: Integration von Sicherheitsvorgängen – Fähigkeit „Erkennbares Element anreichern“.
- Netzwerkstatistiken abrufen: Integration mit Security Operations – Fähigkeit „Netzwerkstatistiken abrufen“.
- Laufende Prozesse abrufen: Integration mit Security Operations – Fähigkeit „Laufende Prozesse abrufen“.
- Host isolieren: Security Operations Integration - Host-Fähigkeit isolieren
- In Beobachtungsliste veröffentlichen: Integration von Sicherheitsvorgängen – Fähigkeit „In Beobachtungsliste veröffentlichen“.
- Sichtungssuche: Integration von Sicherheitsvorgängen – Sichtungssuchfunktion
- Bedrohungssuche: Security Operations-Integration – Funktion „Bedrohungssuche“.
Wie Mandantendomänen ihre eigenen Anwendungsdaten verwalten
- Mandantendomänenbesitzer erstellen ihre eigenen E-Mail-Analyseregeln für die Erfassung von Security Incidents.
- Mandantendomänenbesitzer können bestimmte Integrationen ausschließlich für die Verwendung innerhalb der Domäne konfigurieren.
- Mandantendomänenbesitzer können ihre eigenen Workflows für die Reaktion auf Incidents erstellen.
- Mandantendomänenbesitzer können eigene Incident-Kategorien, Knowledge Base-Artikel zur Reaktion auf Incidents und Runbooks erstellen, die mit Workflows zur Reaktion auf Incidents verknüpft werden sollen.
- Benutzer der Mandantendomäne erstellen und schließen ihre eigenen Security Incidents.
Geschäftslogik und Prozesse, die nach Instanzbesitzer domänengetrennt sein können
- Security Incident Response -Benutzer und -Gruppen
- Security Incident Response -Integrationen (ab Madrid-Release)
- E-Mail-Analyseregeln für die Incident-Erstellung
- Geschäftsregeln zum Konsolidieren mehrerer Events oder Warnungen in einem Security Incident
- Workflows für die Orchestration der Reaktion auf Incidents
- Risikopunktzahl-Rechner für Security Incidents
- Eskalationspfad für Security Incidents
- Security Incident-SLAs
- Prozessdefinitionen für Security Incidents
- Prozesse zur Überprüfung nach einem Incident für Security Incidents