ドメイン分離と 脅威インテリジェンス
ドメイン分離は、Security Incident Response の一部として利用可能な 脅威インテリジェンス モジュールでサポートされています。 ドメイン分離では、データ、プロセス、および管理タスクをドメインと呼ばれる論理的なグループに分けることができます。どのユーザーがデータを表示できるか、データにアクセスできるかなど、このアプリケーションのいくつかの側面を制御できます。
サポートレベル:ベーシック
- ベーシックレベルサポートを含みます。
- ビジネスロジック:サービスプロバイダー (SP) によって顧客ごとにプロセスを作成または変更できます。ユースケースには、単一のインスタンスでの複数のサービスプロバイダー顧客によるアプリケーションの正しい使用が反映されています。
- インスタンスのオーナーは、特定のアプリケーションに期待される通りに、テナントごとに MVP ビジネスロジックとデータパラメーターを設定できる必要があります。
サンプルユースケース:管理者は、レコードを他のテナントに対してはクローズしないが、1 つのテナントに対してクローズする場合、コメントを必須にすることができる必要があります。
サポートレベルの詳細については、「アプリケーションでのドメイン分離のサポート」を参照してください。
概要
(Security Incident Response アプリケーションの一部である) Threat Intelligence モジュールでは、ドメイン分離により、サービスプロバイダー (SP) が次の方法で脅威情報リポジトリを作成および管理できます。
- 脅威のソースおよび検知指標情報自動交換手順 (TAXII) プロファイル
- 観測事象
- セキュリティ侵害のインジケーター
- 脅威の攻撃モード/方法、および顧客ベース全体でのケースマネジメントによる、運用コストの削減とサービス品質の向上
顧客データは、ワークフロー、ダッシュボード、レポートなどに別個の顧客ワークスペースを使用することで分離され、他のクライアントに公開されることはありません。
脅威インテリジェンス でのドメイン分離のサポート (バージョンリリース別)
- セキュリティインシデント観測事象は、ID/資格情報/スコープでインシデントが生成されるユーザーの適切なドメインに送信されます。インシデントから抽出された観測事象は、セキュリティインシデントのドメインに格納されます。
- サイバー脅威情報フィードを提供する 1 つ以上の TAXII 収集をダウンロードするための TAXII サービスプロファイルの設定。構成は、プロファイルが設定されているドメインに保存されます。
- 構成が実行されているドメイン内の IOC リポジトリへの脅威フィードのダウンロードの設定。
- 情報を自動的に提供する脅威インテリジェンスソースのドメイン、またはユーザーが手動で新しい攻撃モード/方法を追加するドメインでの攻撃モード/方法の作成。
- ケースに関連するインシデント、観測事象、CI、ユーザー、および侵害のインジケーター (IOC) の長期調査のためのケースの作成。ケースは、ユーザーが作成したドメインに保存されます。
脅威インテリジェンス (セキュリティインシデントレスポンス の一部) におけるドメイン分離の仕組み
Threat Intelligence は、Security Incident Response の一部として Professional Tier および Enterprise Tier にありますが、Standard Tier には属していません。したがって、別のプラグインが必要です。Threat Intelligence モジュール (セキュリティインシデントレスポンス アプリケーションの一部) は、組織内のセキュリティインシデントに関連する脅威インテリジェンス情報を作成および管理します。次のユースケースはドメイン分離に対応しています。
- インシデント作成時のセキュリティインシデント観測事象の作成
- メールパーサーから (プラットフォームベース、ユーザーから報告されたフィッシング、カスタム)
- サードパーティの Security Information and Event Management (SIEM) ストアのアプリケーションから
- SOC アナリストが手動で入力
- 脅威フィードソースからの観測事象の収集 - TAXII 収集からの Threat intelligence ソース
- セキュリティインシデント観測事象の管理
- 観測事象を関連インジケーターに関連付ける
- 観測事象をセキュリティインシデントに関連付ける
- 観測事象を子観測事象に関連付ける
- 観測事象を脅威フィードソースに関連付ける
- セキュリティ注釈を観測事象に追加する
- セキュリティ侵害のインジケーターの管理
- 観測事象を関連インジケーターに関連付ける
- インジケーターを攻撃モード/方法に関連付ける
- インジケーターをインジケータータイプに関連付ける
- 観測事象を脅威フィードソースに関連付ける
- セキュリティ注釈をインジケーターに追加する
- ケースの管理
- ケースを作成する (手動またはインシデントから)
- 新規ケースを編集して詳細を追加する (ケースタイプと重大度を選択し、インシデント、観測事象、構成アイテム、ユーザー、インジケーターを追加)
- テストケースを削除する
ドメイン分離のセットアップ
Threat Intelligence のドメイン分離を設定するには、追加の手順は必要ありません。インスタンスがドメイン分離されると、すべての Threat Intelligence テーブルで [ドメイン] 列が取得されます。
ドメイン分離データ
データはドメイン分離できます。これは、次のことを意味します。
- ドメイン内のセキュリティインシデント観測事象を他のドメインのスコープから表示することはできません。
- ドメインの侵害のインジケーターを他のドメインのスコープから表示することはできません。
- ドメインに関連付けられた攻撃モード/方法を他のドメインのスコープから表示することはできません。
- ドメインに関連付けられた TAXII サービスプロファイルを他のドメインのスコープからは表示することはできません。
- ドメインに関連付けられた Threat Intelligence ソースを他のドメインのスコープからは表示することはできません。
- ドメインに関連付けられたケースを他のドメインの他のドメインのスコープからは表示することはできません。
- IP アドレス/URL の追加情報を取得するためのドメイン名
- 取得に使用する API キー
- リモートのスキャナーに送信する前のローカル IoC テーブルのルックアップ
- ローカルの観測事象を考慮する日数
- 脅威情報ソースから受信していない場合、攻撃モード/方法を非アクティブとしてマークする
- 指定された日数の間どのソースからも受信していない場合、インジケーターを非アクティブとしてマークする
構成
Threat Intelligence 機能構成のすべての側面は、ドメイン分離環境では自己完結型です。
次のタスクをドメインごとに構成する必要があります。
- TAXII サービスプロファイルの作成
- 検出サービス構成を選択する
- コレクションサービス構成を選択する:ユーザーおよびユーザーグループにロールをアサインします。
- Threat Intelligence ソースの作成
- 脅威インテリジェンス情報を提供する REST サービスを構成する
- 脅威インテリジェンス情報のダウンロードをスケジュールする
- ソースに割り当てる脅威の詳細情報を選択する
- 攻撃モード/方法の作成 (手動)
- ソース、マルウェアタイプ、攻撃メカニズム、攻撃者タイプ、説明、処理、意図した効果、最初の確認、最終確認
- 関連インジケーター、子攻撃モード/方法、関連するセキュリティインシデント注:攻撃モード/方法も脅威フィードのソースから自動的に作成されます。
- 次の脅威情報カテゴリのデフォルトリストの設定:
- 攻撃メカニズム
- 検出方法
- フィード
- インジケータータイプ
- 意図した効果
- 通知
- 観測事象タイプ
- レート制限定義
- 攻撃者タイプ
- 攻撃の動機
- インフラストラクチャタイプ
- マルウェア機能
- マルウェアタイプ
- レポートタイプ
- 攻撃者ロール
- ツールタイプ
テナントドメインが独自のアプリケーションデータを管理する方法
- テナントドメインオーナーは、独自の TAXII サービスプロファイルを作成できます。
- テナントドメインオーナーは、独自の Threat Intelligence ソースを作成できます。
- テナントドメインオーナーは、独自の攻撃モード/方法を作成できます。
- テナントドメインオーナーは、脅威情報カテゴリの独自のデフォルトリストを作成できます。