Séparation de domaine et Renseignements sur les menaces

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 7 minutes de lecture

    • L’application Séparation de domaine est prise en charge dans le module disponible dans le Renseignements sur les menaces cadre de Réponse aux incidents de sécurité. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.

    Niveau de prise en charge : basique

    • Inclut le support de niveau basique.
    • Logique métier : le fournisseur de service (SP) crée ou modifie des processus par client. Les cas d'utilisation reflètent l'utilisation appropriée de l'application par plusieurs clients SP dans une seule instance.
    • Le propriétaire de l'instance doit configurer la logique métier et les paramètres de données du produit minimum viable (MVP) par locataire comme prévu pour l'application spécifique.

    Exemple de cas d'utilisation : un administrateur doit être en mesure de donner les commentaires appropriés lorsqu'un enregistrement se ferme pour un locataire, mais pas pour un autre.

    Pour en savoir plus sur les niveaux de prise en charge, consultez la rubrique Prise en charge de Séparation de domaine par les applications.

    Vue d'ensemble

    Dans le module Renseignements sur les menaces (dans le cadre de l’application Réponse aux incidents de sécurité), Séparation de domaine permet aux fournisseurs de services (SP) de créer et de gérer le référentiel de renseignements sur les menaces comme suit :

    • Sources de menace et profils TAXII (Trusted Automated Exchange of Indicator Information)
    • Observables
    • Indicateurs de compromis
    • Modes/méthodes d’attaque des menaces et gestion des tickets sur l’ensemble de la clientèle qu’ils servent avec des coûts opérationnels réduits et une meilleure qualité de service

    Le fait de disposer d’espaces de travail client distincts pour les workflows, les tableaux de bord, les rapports, etc., garantit que les données client sont séparées et ne sont jamais exposées à d’autres clients.

    Prise en charge de Séparation de domaine dans Version Renseignements sur les menaces par version

    Séparation de domaine pour le module Renseignements sur les menaces (dans le cadre de l’application Réponse aux incidents de sécurité ) couvre les fonctionnalités produit suivantes :
    • Les observables d’incident de sécurité sont dirigés vers le domaine approprié de l’utilisateur dont l’ID/les informations d’identification ou le champ d’application génèrent l’incident. Les observables extraits de l’incident sont stockés dans le domaine de l’incident de sécurité.
    • Configuration de profils de service TAXII pour télécharger une ou plusieurs collections TAXII qui offrent des flux d’informations sur les cybermenaces. La configuration est stockée dans le domaine sous lequel le profil est configuré.
    • Configuration du téléchargement des flux de menaces dans le référentiel IOC dans le domaine sous lequel la configuration est effectuée.
    • Création d’un ou de plusieurs modes d’attaque dans le domaine de la source de renseignements sur les menaces qui fournit automatiquement les informations ou du domaine dans lequel un nouveau mode/une nouvelle méthode d’attaque est ajouté manuellement par l’utilisateur
    • Création de tickets pour une enquête à long terme sur les incidents, les observables, les CI, les utilisateurs et les indicateurs de compromission (IOC) associés au ticket. Le ticket est stocké dans le domaine créé par l’utilisateur.
    Remarque :
    Dans tous les cas ci-dessus, les principes généraux de visibilité dans des domaines séparés dans la Now Platform s’appliquent. Comme toujours, un incident dans le domaine parent peut faire référence à des artefacts dans le domaine enfant, mais pas l’inverse.

    Fonctionnement de Séparation de domaine dans Renseignements sur les menaces (dans le cadre de Réponse aux incidents de sécurité)

    Les renseignements sur les menaces font partie de Réponse aux incidents de sécurité dans les niveaux Professional et Enterprise, mais pas avec le niveau Standard. Par conséquent, un plugin séparé est nécessaire. Le module Renseignements sur les menaces (dans le cadre de l’application Réponse aux incidents de sécurité ) crée et gère les informations de renseignements sur les menaces associées aux incidents de sécurité survenus au sein d’une organisation. Les cas d’utilisation suivants prennent en charge la séparation de domaine :

    • Création d’observables d’incident de sécurité au moment de la création de l’incident
      • À partir d’analyseurs d’e-mails (basés sur la plateforme, hameçonnage signalé par les utilisateurs, personnalisé)
      • À partir d’applications dans des magasins tiers de Gestion des informations et des événements de sécurité (SIEM)
      • Saisie manuellement par l’analyste SOC
    • Collection d’observables à partir de sources de flux de menaces : sources de renseignements sur les menaces provenant des collectes TAXII
    • Gérer les observables d’incident de sécurité
      • Associer des observables à des indicateurs connexes
      • Associer des observables à des incidents de sécurité
      • Associer des observables à des observables enfants
      • Associer l’observable à la source du flux de menaces
      • Ajouter des annotations de sécurité aux observables
    • Gérer les indicateurs de compromission
      • Associer des indicateurs à des observables associés
      • Associer des indicateurs au mode/à la méthode d’attaque
      • Associer des indicateurs à des types d’indicateurs
      • Associer des indicateurs à la source du flux de menaces
      • Ajouter des annotations de sécurité aux indicateurs
    • Gérer les tickets
      • Créer un ticket (manuellement ou à partir d’un incident)
      • Modifiez un nouveau ticket pour ajouter des détails (choisir le type et la gravité du ticket, ajouter des incidents, des observables, des éléments de configuration, des utilisateurs, des indicateurs)
      • Supprimer un ticket

    Configuration de Séparation de domaine

    La configuration de Séparation de domaine pour Renseignements sur les menaces ne nécessite aucune étape supplémentaire. Toutes les tables Threat Intelligence acquièrent la colonne Domaine une fois que l’instance est séparée par domaine.

    Données séparées par domaine

    Les données peuvent être séparées par domaine, ce qui signifie :

    • Les observables d’incident de sécurité d’un domaine ne peuvent pas être visualisés à partir du périmètre d’autres domaines.
    • Les indicateurs de compromission dans un domaine ne peuvent pas être visualisés à partir du périmètre d’autres domaines.
    • Les modes/méthodes d’attaque associés à un domaine ne peuvent pas être visualisés à partir du périmètre d’autres domaines.
    • Les profils de service TAXII associés à un domaine ne peuvent pas être visualisés à partir du périmètre d’autres domaines.
    • Les sources de renseignements sur les menaces associées à un domaine ne peuvent pas être consultées à partir du périmètre d’autres domaines.
    • Les tickets associés à un domaine ne peuvent pas être affichés à partir du périmètre d’autres domaines.
    Les propriétés des renseignements sur les menaces sont définies au niveau global et ne sont donc pas séparées par domaine. Les paramètres incluent :
    • Nom du domaine pour récupérer des informations supplémentaires pour les adresses IP/URL
    • Clé API à utiliser pour la récupération
    • Recherche des tables IoC locales avant envoi au scanner distant
    • Nombre de jours pendant lesquels les observables locaux sont pris en compte
    • Marquage d’un mode/d’une méthode d’attaque comme inactif lorsqu’il n’est pas reçu de sources de connaissance des menaces
    • Marquage d’un indicateur comme inactif lorsqu’il n’est reçu d’aucune source pendant un nombre de jours spécifié

    Configuration

    Tous les aspects de la configuration des fonctionnalités de renseignements sur les menaces sont autonomes dans un environnement séparé par domaine.

    Les tâches suivantes peuvent être configurées par domaine :

    1. Création de profils de service TAXII
      • Choisir une configuration de service de découverte
      • Choisir une configuration de service de collecte : affecter des rôles à des utilisateurs et à des groupes d’utilisateurs
    2. Création de sources de renseignements sur les menaces
      • Configurer le service REST qui fournit les informations de renseignement sur les menaces
      • Planifier le téléchargement des informations de Threat Intelligence
      • Choisir les informations détaillées de la menace à affecter à la source
    3. Création de mode/méthodes d’attaque (manuel)
      • Source, type de programme malveillant, mécanisme d’attaque, type d’acteur de menace, description, gestion, effet souhaité, premier vu, dernier observé
      • Indicateurs connexes, mode/méthode d’attaque enfant, incidents de sécurité associés
        Remarque :
        Les modes/méthodes d’attaque sont également créés automatiquement à partir des sources du flux de menaces.
    4. Définition de listes par défaut pour les catégories d’informations sur les menaces suivantes :
      • Mécanismes d'attaque
      • Méthodes de Découverte
      • Flux
      • Types d'indicateurs
      • Effets souhaités
      • Notifications
      • Types des observables
      • Définitions de limite d’évaluation
      • Types d'acteurs de menace
      • Motivations de l’attaque
      • Types d’infrastructure
      • Options de logiciel malveillant
      • Types de malware
      • Types de rapports
      • Rôles d’acteur de menace
      • Types d’outil

    Comment les domaines de locataire gèrent-ils leurs propres données d’application ?

    • Les propriétaires de domaines locataires peuvent créer leurs propres profils de service TAXII.
    • Les propriétaires de domaines du locataire peuvent créer leurs propres sources de renseignements sur les menaces.
    • Les propriétaires de domaines de locataires peuvent créer leurs propres modes/méthodes d’attaque.
    • Les propriétaires de domaines locataires peuvent créer leurs propres listes par défaut pour les catégories d’informations sur les menaces.
    Remarque :
    La logique et les processus métier permettent aux calendriers de téléchargement des sources de renseignements sur les menaces d’être séparés par domaine par propriétaire d’instance.