ドメインセパレーションと セキュリティインシデントレスポンス

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:11分

    • ドメインセパレーションは セキュリティインシデントレスポンス でサポートされています。 ドメインセパレーションでは、データ、プロセス、および管理タスクをドメインと呼ばれる論理的なグループに分けることができます。どのユーザーがデータを表示できるか、データにアクセスできるかなど、このアプリケーションのいくつかの側面を制御できます。

    サポートレベル:標準

    • ベーシックレベルサポートのすべての側面を含みます。
    • アプリケーションプロパティは、必要に応じてドメイン対応です。
    • ビジネスロジック:サービスプロバイダー (SP) によって顧客ごとにプロセスを作成または変更できます。ユースケースには、単一のインスタンスでの複数のサービスプロバイダー顧客によるアプリケーションの正しい使用が反映されています。
    • インスタンスのオーナーは、特定のアプリケーションに期待される通りに、テナントごとに MVP ビジネスロジックとデータパラメーターを設定できる必要があります。

    サンプルユースケース:アドミンは、レコードを他のテナントに対してはクローズしないが、1 つのテナントに対してクローズする場合、コメントを必須にすることができる必要があります。

    サポートレベルの詳細については、「アプリケーションでのドメインセパレーションのサポート)」を参照してください。

    SIR でのドメインセパレーションの概要

    セキュリティインシデントレスポンス アプリケーションでは、サービスプロバイダー (SP) は、ドメインセパレーションによって、顧客ベース全体で SOC (Security Operations Center) および セキュリティインシデントレスポンス (SIR) 手順を標準化し、運用コストの削減とサービス品質の向上を実現できます。顧客データは、ワークフロー、ダッシュボード、レポートなどに別個の顧客ワークスペースを使用することで分離され、他のクライアントに公開されることはありません。

    表 : 1. バージョンリリースごとのセキュリティインシデントレスポンスでのドメインセパレーションのサポート
    リリース サポートレベル メモ
    Geneva、Helsinki サポートはありません データレベルのドメインセパレーションの開始
    Istanbul データのみ
    Jakarta レベル 2 (データ、要求者、履行者) 新機能:単一の統合インスタンスでのレベル 2 ドメインセパレーションによるサードパーティ統合のサポート (脅威インテリジェンス統合を含む)
    Kingston レベル 2 (データ、要求者、履行者) 新機能:SIR のサイティング検索統合は複数のインスタンスで有効になりますが、すべてのインスタンスは引き続き単一のドメインの下で動作します。例:Splunk Integration の 2 つのインスタンス (SplunkCLOUD および SplunkCORP) が構成されている場合は、実装が最初に構成された単一のドメインでのインシデント応答アクティビティにその両方が引き続き利用されます。
    London レベル 2 (データ、要求者、履行者) 新機能:すべての統合を複数のドメインに配置できます。
    Madrid レベル 2 (データ、要求者、履行者) すべての統合を複数のドメインに配置できるようになりました。上記の例では、SplunkCloud を domain1 に配置し、SplunkCORP を domain2 に配置できます。
    New York レベル 2 (データ、要求者、履行者) すべての統合を複数のドメインに配置できます。
    Orland 標準 すべての統合を複数のドメインに配置できます。
    Paris 標準 すべての統合を複数のドメインに配置できます。

    セキュリティインシデントレスポンス アプリケーションのドメインセパレーションは、次の製品機能をカバーしています。

    • セキュリティアラートは、インシデントがその ID/認証情報/スコープで生成され、セキュリティインシデントとして登録されているユーザーの適切なドメインに送信されます。
    • アラートは、ステートフルなプロパティまたは測定可能なイベントを表す「観測事象」を生成します。セキュリティインシデントのドメイン内のセキュリティワークフローを使用して、応答を調整します。
    • 統合は、応答の自動化のためにセキュリティインシデントのドメイン内で構成されます。
    • 機能は、応答の自動化のためにセキュリティインシデントのドメイン内で構成されます。機能には、次のものが含まれます (Kingston リリース時点)。
      • 脅威のルックアップ
      • 観測事象を拡張
      • 構成アイテムを拡張
      • 実行中のプロセスを取得
      • ネットワーク統計情報を取得
      • ブロック要求
      • ホストを隔離
      • サイティング検索
      • メールの検索と削除
      • ウォッチリストに公開
    • 応答の自動化の結果 (脅威のルックアップやサイティング検索など) は、セキュリティインシデントのドメインに保存されます。
    • 他のセキュリティインシデントは、観測事象の共有セットに基づいて、セキュリティインシデントの同じドメイン内で相互参照されます。
    • 他のユーザーは、セキュリティインシデントのドメイン内で相互参照されます。
    • 構成アイテムは、セキュリティインシデントと同じドメイン内で相互参照されます。
    • 手動応答タスクは、セキュリティインシデントのドメインに追加されます。
    • ナレッジベース記事と Runbook は、セキュリティインシデントのドメイン内で参照されます。
    • ドメイン内のインシデントに関連するセキュリティインシデントレスポンスメトリクスは、ダッシュボードとレポートに表示されます。
    注:
    上記のケースでは、NOW Platform の分離されたドメインでの可視化の包括的な原則が適用されます。通常どおり、親ドメインのインシデントは子ドメインのアーティファクトを参照できますが、その逆はできません。

    セキュリティインシデントレスポンスにおけるドメインセパレーションの仕組み

    セキュリティインシデントレスポンス アプリケーションは、セキュリティインシデントのライフサイクルをエンドツーエンドで管理します。次のユースケースはドメインセパレーションに対応しています。

    • 顧客の SOC または MSP のアナリストが応答するセキュリティインシデントを作成するためのイベントとアラートの取り込み
      • メールパーサー (プラットフォームベース、ユーザーから報告されたフィッシング、カスタム)
      • インシデント作成前の重複排除イベント/アラート
      • 観測事象の自動抽出
      • サードパーティ SIEM ストアにあるアプリケーション
    • インシデントに関連するアーティファクトの拡張 (IP、URL、ドメイン、ファイルハッシュ):
      • 資産の拡張 (CMDB)
      • ユーザー (プラットフォーム)
      • 自動化:観測事象の拡張 (例:WhoIs)
    • アーティファクトとその評判または既知の脅威との関連付けを使用したインシデントの調査
      • 調整:プレイブックとナレッジベース記事
      • 自動化:脅威のルックアップ (例:VirusTotal)、サイティング検索 (例:Splunk)、実行中のプロセスを取得 (例:Carbon Black)
    • 実行された調査に基づく、インシデントに関連する脅威関連のアーティファクトの根絶
      • 調整:プレイブックとナレッジベース記事
      • 自動化:メールの検索と削除 (例:Microsoft Exchange)、IP のブロック (例:Palo Alto ファイアウォール)
    • 効率性またはインシデント応答操作の測定
      • パフォーマンスアナリティクスダッシュボード:生産性とインシデントの傾向
      • 作業メモからのインシデント調査ステップの再ビルド
      • インシデントの事後レビュー

    ドメインセパレーションのセットアップ

    セキュリティインシデントレスポンス のドメインセパレーションを設定するには、追加の手順は必要ありません。インスタンスがドメインセパレーションされた後、すべての セキュリティインシデントレスポンス テーブルで [ドメイン] 列が取得されます。

    ドメインセパレーションデータ

    データはドメインセパレーションできます。これは、次のことを意味します。

    • あるドメイン内のセキュリティインシデントを他のドメインから表示することはできません。
    • セキュリティインシデントから抽出された観測事象は同じドメインに配置され、他のドメインから表示することはできません。
    • Kingston リリースまで、構成されたサードパーティ統合はグローバルドメインに存在し、インスタンス内の他のすべてのドメインからアクセスできます。
    • Madrid リリースでは、サードパーティ統合をドメインごとに構成してアクティブ化できます。これは、あるドメインでアクティブ化および構成された統合を別のドメインで活用できないことを意味します。
    • (脅威の調査、封じ込め、または根絶のために) サードパーティ統合を使用して観測事象で実行される自動化では、結果がセキュリティインシデントのドメインに配置され、別のドメインから結果を表示することはできません。
    • あるドメインで作成されたオーケストレーションワークフローは、別のドメインでは表示されません。
    • 呼び出される機能 (前述の機能リストに記載) は、呼び出される機能のドメイン固有の実装により、ドメイン全体で汎用的なままになります。たとえば、IP のサイティング検索で、あるドメインで Splunk 実装を呼び出し、別のドメインで QRadar 実装を呼び出すことができます。

    構成

    製品構成のすべての側面は、ドメインセパレーションされた環境で自己完結型です。セットアップは、個々のドメインに合わせてカスタマイズできます。
    注:
    ビジネスロジックと下記の #2 ~ 5 のプロセスは、テナントドメイン内で管理できます。

    次のタスクを構成する必要があります。

    1. システム管理
    2. セキュリティインシデントレスポンス 管理
    3. セキュリティインシデントメールの設定
    4. セキュリティインシデントプレイブックの設定
    5. 機能の設定

    テナントドメインが独自のアプリケーションデータを管理する方法

    • テナントドメインオーナーは、セキュリティインシデントを取り込むための独自のメール解析ルールを作成します。
    • テナントドメインオーナーは、ドメイン内で使用するために特定の統合を構成できます。
    • テナントドメインオーナーは、独自のインシデント応答ワークフローを作成できます。
    • テナントドメインオーナーは、独自のインシデントカテゴリ、インシデント応答ナレッジベース記事、および Runbook を作成して、インシデント応答ワークフローに関連付けることができます。
    • テナントドメインユーザーは、独自のセキュリティインシデントを作成し、クローズします。

    インスタンスオーナーがドメインセパレーションできるビジネスロジックとプロセス

    • セキュリティインシデントレスポンス ユーザーとグループ
    • セキュリティインシデントレスポンス 統合 (Madrid リリースから)
    • インシデント作成のためのメール解析ルール
    • 複数のイベントまたはアラートをセキュリティインシデントに統合するビジネスルール
    • インシデント応答オーケストレーションのワークフロー
    • セキュリティインシデントリスクスコア算出
    • セキュリティインシデントのエスカレーションパス
    • セキュリティインシデント SLA
    • セキュリティインシデントプロセス定義
    • セキュリティインシデントのインシデント後のレビュープロセス