Séparation de domaine et Réponse aux incidents de sécurité
L'application Séparation de domaine est prise en charge dans Réponse aux incidents de sécurité. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.
Niveau de prise en charge : Standard
- Inclut la prise en charge de niveau Basique.
- Logique métier : le fournisseur de service (SP) crée ou modifie des processus par client. Les cas d'utilisation reflètent l'utilisation appropriée de l'application par plusieurs clients SP dans une seule instance.
- Le propriétaire de l'instance doit configurer la logique métier et les paramètres de données du produit minimum viable (MVP) par locataire comme prévu pour l'application spécifique.
Exemple de cas d'utilisation : un administrateur doit être en mesure de donner les commentaires appropriés lorsqu'un enregistrement se ferme pour un locataire, mais pas pour un autre.
Pour en savoir plus sur les niveaux de prise en charge, consultez la rubrique Prise en charge de Séparation de domaine par les applications.
Vue d'ensemble
Dans l’application Réponse aux incidents de sécurité , Séparation de domaine permet aux fournisseurs de services (SP) de standardiser les procédures SOC (Security Operations Center) et Security Incident Response (SIR) dans l’ensemble de la base de clients qu’ils servent, avec des coûts d’exploitation réduits et une meilleure qualité de service. Des espaces de travail client distincts pour les workflows, les tableaux de bord, les rapports, etc., garantissent que les données client sont séparées et ne sont jamais exposées à d’autres clients.
| Version | Niveau de prise en charge | Notes |
|---|---|---|
| Genève, Helsinki | Aucune prise en charge | Initiation de Séparation de domaine au niveau des données |
| Istanbul | Données uniquement | |
| Jakarta | Niveau 2 (données, demandeur, prestataire) | Nouvelles fonctionnalités : prise en charge des intégrations tierces avec séparation de domaine de niveau 2 sous une seule instance d’intégration, y compris les intégrations Threat Intelligence |
| Kingston | Niveau 2 (données, demandeur, prestataire) | Nouvelles fonctionnalités : l’intégration de la recherche de perception pour SIR est activée avec plusieurs instances, mais toutes les instances sont toujours sous un seul domaine. Exemple : si deux instances d’une intégration Splunk sont configurées (SplunkCLOUD et SplunkCORP), elles sont toujours exploitées pour les activités de réponse aux incidents dans un seul domaine, où l’implémentation a été configurée à l’origine. |
| Londres | Niveau 2 (données, demandeur, prestataire) | Nouvelles fonctionnalités : toutes les intégrations résident dans plusieurs domaines |
| Madrid | Niveau 2 (données, demandeur, prestataire) | Toutes les intégrations peuvent désormais résider dans plusieurs domaines. Dans l’exemple ci-dessus, SplunkCloud peut être domain1 et SplunkCORP domain2. |
| New York | Niveau 2 (données, demandeur, prestataire) | Toutes les intégrations résident dans plusieurs domaines. |
| Orlando | Standard | Toutes les intégrations résident dans plusieurs domaines. |
| Paris | Standard | Toutes les intégrations résident dans plusieurs domaines. |
Séparation de domaine pour l’application Réponse aux incidents de sécurité couvre les fonctionnalités du produit suivantes :
- Les alertes de sécurité sont dirigées vers le domaine approprié de l’utilisateur dont l’ID/les informations d’identification/le périmètre génère l’incident et est enregistré comme incident de sécurité.
- Les alertes génèrent des « observables », qui représentent des propriétés d’état ou des événements mesurables : Les workflows de sécurité dans le domaine de l’incident de sécurité sont utilisés pour orchestrer la réponse.
- Les intégrations sont configurées dans le domaine de l’incident de sécurité pour l’automatisation des réponses.
- Les options sont configurées dans le domaine de l’incident de sécurité pour l’automatisation de la réponse. Ces fonctionnalités (à partir de la version Kingston) sont les suivantes :
- Recherche de menace
- Enrichir les observables
- Enrichir l’élément de configuration
- Obtenir les processus d'exécution
- Obtenir les statistiques réseau
- Demande de bloc
- Isoler l'hôte
- Recherche de perception
- Recherche et suppression d'e-mail
- Publier dans la liste de surveillance
- Les résultats de l’automatisation des réponses (comme la recherche de menace ou la recherche de perception) sont stockés dans le domaine de l’incident de sécurité.
- D’autres incidents de sécurité sont référencés dans le même domaine de l’incident de sécurité en fonction d’un ensemble partagé d’observables.
- D’autres utilisateurs sont référencés dans le domaine de l’incident de sécurité.
- Les éléments de configuration sont référencés dans le même domaine que l’incident de sécurité.
- Les tâches de réponse manuelle sont ajoutées au domaine de l’incident de sécurité.
- Les articles de la base de connaissances et les livres d’exécution sont référencés dans le domaine de l’incident de sécurité.
- Les mesures de Security Incident Response pertinentes pour les incidents dans le domaine sont affichées sur les tableaux de bord ainsi que dans la génération de rapports.
Remarque :
Dans les cas précédents, les principes généraux de visibilité dans des domaines distincts de la NOW Platform s’appliquent. Comme toujours, un incident dans le domaine parent peut faire référence à des artefacts dans le domaine enfant, mais pas l’inverse.
Fonctionnement de Séparation de domaine dans Security Incident Response
L’application Réponse aux incidents de sécurité gère le cycle de vie d’un incident de sécurité de bout en bout. Les cas d’utilisation suivants prennent en charge la séparation par domaine :
- Ingestion d’événements et d’alertes pour créer des incidents de sécurité afin que l’analyste du SOC client ou le MSP y réponde :
- Analyseurs d’e-mails (basés sur la plateforme, hameçonnage signalé par les utilisateurs, personnalisés)
- Événements/alertes de déduplication avant la création de l’incident
- Extraction automatique des observables
- Applications dans un magasin SIEM tiers
- Enrichissement des artefacts impliqués dans les incidents (adresses IP, URL, domaines, hachages de fichiers) :
- Enrichissement des actifs (CMDB)
- Utilisateurs (plateforme)
- Automatisation : enrichissement des observables (ex : WhoIs)
- Enquêter sur les incidents à l’aide des artefacts et de leur réputation ou de leur association avec des menaces connues
- Orchestrer : playbooks et articles de la base de connaissances
- Automatisation : recherche de menace (ex : VirusTotal), recherche de perception (ex : Splunk), obtention des processus en cours d’exécution (ex : Carbon Black)
- Éradiquer les artefacts liés à la menace impliqués dans l’incident en fonction de l’enquête effectuée
- Orchestrer : playbooks et articles de la base de connaissances
- Automatisation : recherche et suppression d’e-mails (ex : Microsoft Exchange), blocage d’IP (ex : pare-feu Palo Alto)
- Mesurer l’efficacité des opérations de réponse aux incidents
- Tableaux de bord Performance Analytics : productivité et tendances d’incidents
- Reconstruction des étapes d’enquête sur l’incident à partir des notes de travail
- Examen post-incident
Configuration de Domain Separation
La configuration de Séparation de domaine pour Réponse aux incidents de sécurité ne nécessite aucune étape supplémentaire. Toutes les Réponse aux incidents de sécurité tables acquièrent la colonne Domaine une fois que l’instance est séparée par domaine.
Données séparées par domaine
Les données peuvent être séparées par domaine, ce qui signifie :
- Les incidents de sécurité d’un domaine ne peuvent pas être affichés à partir d’autres domaines.
- Les observables extraits de l’incident de sécurité sont placés dans le même domaine et ne peuvent pas être affichés à partir d’autres domaines.
- Jusqu’à la version Kingston, des intégrations tierces configurées existent dans le domaine global et sont accessibles à tous les autres domaines de l’instance.
- Dans la version Madrid, les intégrations tierces peuvent être configurées et activées pour chaque domaine. Cela signifie que l’intégration activée et configurée dans un domaine ne peut pas être exploitée dans un autre domaine.
- Les automatisations qui s’exécutent sur les observables à l’aide d’intégrations tierces (pour l’investigation, l’endiguement ou l’éradication des menaces) placent leurs résultats dans le domaine de l’incident de sécurité et ne peuvent pas être consultés à partir d’un autre domaine.
- Les workflows Orchestration créés dans un domaine ne sont pas visibles dans un autre domaine.
- Les options (telles que définies dans la liste des fonctions d’aptitudes de prédication) qui sont invoquées restent génériques dans tous les domaines avec une implémentation spécifique au domaine de l’option appelée. Par exemple, une recherche d’observation sur une adresse IP peut invoquer une implémentation Splunk dans un domaine et une implémentation QRadar dans un autre.
Configuration
Tous les aspects de la configuration du produit sont autonomes dans un environnement séparé par domaine. La configuration peut être adaptée à des domaines individuels.
Remarque :
La logique métier et les processus de #2-5 ci-dessous peuvent être administrés dans le domaine du locataire.
Les tâches suivantes doivent être configurées :
- Administration système
- Affecter des rôles aux utilisateurs et aux groupes d’utilisateurs : rôles d’utilisateur installés avec Réponse aux incidents de sécurité
- Installez un ou plusieurs modules d’extension d’intégration tiers à utiliser Réponse aux incidents de sécuritéavec : Intégrations de Réponse aux incidents de sécurité
- Administration du Réponse aux incidents de sécurité
- Ajouter ou passer en revue les rôles : Composants installés avec Réponse aux incidents de sécurité
- Configurez les groupes et les utilisateurs : Créer un groupe d’incidents de sécurité
- Configurer les escalades d’incidents : Escalader un incident de sécurité
- Configurez les calculateurs de score de risque des incidents de sécurité : Comprendre les calculateurs d’incidents de sécurité
- Configurer des accords sur les niveaux de service : Créer un Réponse aux incidents de sécurité SLA
- Configurez les définitions de processus d’incident de sécurité : Comprendre la définition du processus de Security Incident Response
- Mettez en place des processus d’examen post-incident : Gérer les activités post-incident
- Paramètres d’e-mail d’incident de sécurité
- Définissez la boîte de réception d’analyse des e-mails : Opérations de sécurité Analyse des e-mails
- Configurer des analyseurs d’e-mails pour l’ingestion d’alertes : Créer des analyseurs d’e-mails dans Security Operations
- Définissez des règles de correspondance des e-mails pour le hameçonnage signalé par les utilisateurs : Créer des règles pour valider les attaques de hameçonnage signalées par les utilisateurs
- Configurer des actions sur e-mail entrant :actions sur e-mail entrant
- Paramètres du Playbook d’incident de sécurité
- Examinez et configurez les documents du Runbook : Créer un Runbook Security Incident Response
- Configurer des workflows d’incident de sécurité : Opérations de sécurité Fonctionnalité commune
- Configurations d’option
- Bloquer la demande : Security Operations Integration - Aptitude de demande de bloc
- Recherche et suppression d’e-mail : Security Operations Integration - Aptitude de recherche et de suppression d’e-mails
- Enrichir l’élément de configuration : Security Operations Integration - Enrichir la capacité CI
- Enrichir les observables : Intégration de Security Operations : aptitude d’enrichissement des observables
- Obtenir les statistiques réseau : Security Operations Integration - Aptitude Obtenir les statistiques réseau
- Obtenir les processus en cours d’exécution : Security Operations Integration - Obtenir l’aptitude Processus en cours d’exécution
- Isoler l’hôte : Intégration de Security Operations : capacité Isoler l’hôte
- Publier dans la liste de surveillance : Intégration de Security Operations : aptitude Publier dans la liste de surveillance
- Recherche de perception : Intégration de Security Operations : fonctionnalité de recherche de perceptions
- Recherche de menaces : Security Operations Integration - Aptitude Recherche de menace
Comment les domaines de locataire gèrent-ils leurs propres données d’application ?
- Les propriétaires de domaines locataires créent leurs propres règles d’analyse des e-mails pour ingérer des incidents de sécurité.
- Les propriétaires de domaines locataires peuvent configurer des intégrations spécifiques exclusivement pour une utilisation au sein du domaine.
- Les propriétaires de domaines locataires peuvent créer leurs propres workflows de réponse aux incidents.
- Les propriétaires de domaines locataires peuvent créer leurs propres catégories d’incidents, articles de base de connaissances sur la réponse aux incidents et runbooks à associer aux workflows de réponse aux incidents.
- Les utilisateurs de domaine de locataire créent et ferment leurs propres incidents de sécurité.
Logique métier et processus qui peuvent être séparés par domaine par propriétaire de l’instance
- Réponse aux incidents de sécurité Utilisateurs et groupes
- Réponse aux incidents de sécurité intégrations (à partir de la version Madrid)
- Règles d’analyse des e-mails pour la création d’incidents
- Règles métier pour consolider plusieurs événements ou alertes dans un incident de sécurité
- Workflows pour l’orchestration de la réponse aux incidents
- Calculateurs de score de risque d’incident de sécurité
- Chemin d’escalade des incidents de sécurité
- SLA d’incidents de sécurité
- Définitions de processus d’incidents de sécurité
- Processus d’examen post-incident de sécurité