도메인 분리 및 위협 인텔리전스
도메인 분리는 보안 인시던트 응답의 일부로 사용할 수 있는 모듈에서 위협 인텔리전스 지원됩니다. 도메인 분리를 사용하여 데이터, 프로세스 및 관리 작업을 도메인이라는 논리적 그룹으로 분할할 수 있습니다. 어떤 사용자가 데이터를 보고 액세스할 수 있는지를 포함하여 이러한 분리의 여러 측면을 제어할 수 있습니다.
지원 수준: 기본
- 기본 수준 지원을 포함합니다.
- 비즈니스 논리: 서비스 제공자(SP)가 고객별로 프로세스를 만들거나 수정합니다. 사용 사례는 여러 SP 고객이 단일 인스턴스에서 애플리케이션을 올바르게 사용하는 것을 반영합니다.
- 인스턴스 소유자는 특정 애플리케이션에 필요한 대로 테넌트별 최소 실행 가능한 제품(MVP) 비즈니스 논리 및 데이터 매개변수를 구성해야 합니다.
샘플 사용 사례: 관리자가 한 테넌트에 대해서는 기록이 닫히지만 다른 테넌트에 대해서는 기록이 닫히지 않는 경우 설명이 필요하도록 설정할 수 있어야 합니다.
지원 수준에 대한 자세한 내용은 도메인 분리를 위한 애플리케이션 지원을 참조하십시오.
개요
위협 인텔리전스 모듈(보안 인시던트 응답 애플리케이션의 일부)에서 도메인 분리를 사용하면 SP(서비스 제공자)가 다음과 같은 방법으로 위협 인텔리전스 리포지토리를 만들고 관리할 수 있습니다.
- 위협 소스 및 신뢰할 수 있는 TAXII(Automated Exchange of Indicator Information) 프로파일
- 옵저버블
- 영향을 받게 되는 표시기
- 운영 비용 절감과 서비스 품질 향상으로 서비스를 제공하는 고객 기반 전반의 위협 공격 모드/방법, 케이스 관리
워크플로우, 대시보드, 보고서 등을 위한 별도의 고객 작업 공간을 확보하면 고객 데이터가 분리되어 다른 클라이언트에게 노출되지 않습니다.
버전별 릴리스의 위협 인텔리전스 도메인 분리 지원
- 보안 인시던트 옵저버블은 ID/자격 증명/범위가 인시던트를 생성하는 사용자의 적절한 도메인으로 전달됩니다. 인시던트에서 추출된 옵저버블은 보안 인시던트의 도메인에 저장됩니다.
- 사이버 위협 정보 피드를 제공하는 하나 이상의 TAXII 컬렉션을 다운로드하도록 TAXII 서비스 프로파일을 설정합니다. 구성은 프로파일이 설정되는 도메인에 저장됩니다.
- 구성이 수행되는 도메인의 IOC 리포지토리에 위협 피드를 다운로드하도록 설정합니다.
- 자동으로 정보를 제공하는 위협 인텔리전스 소스의 도메인 또는 사용자가 새로운 공격 모드/방법을 수동으로 추가하는 도메인에서 공격 모드/방법의 생성
- 케이스와 관련된 인시던트, 옵저버블, CI, 사용자 및 영향 표시기(IOC)에 대한 장기 조사를 위한 케이스를 생성합니다. 케이스는 사용자가 만든 도메인에 저장됩니다.
에서 도메인 분리가 작동하는 위협 인텔리전스 방식(의 보안 인시던트 응답일부로)
Threat Intelligence는 Professional 및 Enterprise 계층에서 Security Incident Response의 일부이지만 Standard Tier에는 포함되지 않습니다. 따라서 별도의 플러그인이 필요합니다. 위협 인텔리전스 모듈(애플리케이션의 보안 인시던트 응답 일부)은 조직의 보안 인시던트와 관련된 위협 인텔리전스 정보를 생성하고 관리합니다. 도메인 분리를 인식하는 사용 사례는 다음과 같습니다.
- 인시던트 생성 시 보안 인시던트 옵저버블 생성
- 이메일 파서(플랫폼 기반, 사용자 보고 피싱, 사용자 지정)
- 타사 SIEM(보안 정보 및 이벤트 관리) 저장소의 애플리케이션에서
- SOC 분석가가 수동으로 입력함
- 위협 피드 소스에서 옵저버블 수집 - TAXII 컬렉션의 위협 인텔리전스 소스
- 보안 인시던트 옵저버블 관리
- 옵저버블을 관련 표시기와 연결
- 옵저버블을 보안 인시던트와 연결
- 옵저버블을 하위 옵저버블과 연결
- 옵저버블을 위협 피드 소스에 연결
- 옵저버블에 보안 주석 추가
- 침해 표시기 관리
- 표시기를 관련 옵저버블과 연결
- 표시기를 공격 모드/방법과 연결
- 표시기를 표시기 유형과 연결
- 위협 피드 소스에 표시기 연결
- 표시기에 보안 주석 추가
- 케이스 관리
- 케이스 생성(수동 또는 인시던트에서)
- 새 케이스를 편집하여 상세 정보 추가(케이스 유형 및 심각도 선택, 인시던트, 옵저버블, 구성 항목, 사용자, 표시기 추가)
- 케이스 삭제
도메인 분리 설정
위협 인텔리전스에 대한 도메인 분리를 설정하는 데는 추가 단계가 필요하지 않습니다. 모든 위협 인텔리전스 테이블은 인스턴스가 도메인으로 분리된 후 도메인 열을 획득합니다.
도메인 분리 데이터
데이터는 도메인으로 분리될 수 있으며, 이는 다음을 의미합니다.
- 한 도메인의 보안 인시던트 옵저버블은 다른 도메인의 범위에서 볼 수 없습니다.
- 한 도메인의 침해 표시기는 다른 도메인의 범위에서 볼 수 없습니다.
- 한 도메인과 관련된 공격 모드/방법은 다른 도메인의 범위에서 볼 수 없습니다.
- 한 도메인과 연결된 TAXII 서비스 프로파일은 다른 도메인의 범위에서 볼 수 없습니다.
- 한 도메인과 연결된 위협 인텔리전스 소스는 다른 도메인의 범위에서 볼 수 없습니다.
- 한 도메인과 관련된 케이스는 다른 도메인의 범위에서 볼 수 없습니다.
- IP 주소/URL에 대한 추가 정보를 검색할 도메인 이름
- 검색에 사용할 API 키
- 원격 스캐너로 보내기 전에 로컬 IoC 테이블 조회
- 로컬 옵저버블이 고려되는 일 수
- 위협 인텔리전스 소스에서 수신하지 않은 경우 공격 모드/방법을 비활성으로 표시
- 지정된 일수 동안 어떤 소스에서도 수신되지 않은 경우 표시기를 비활성으로 표시
구성
위협 인텔리전스 기능 구성의 모든 측면은 도메인 분리 환경에서 자체적으로 포함되어 있습니다.
도메인별로 다음 작업을 구성할 수 있습니다.
- TAXII 서비스 프로파일 생성
- 디스커버리 서비스 구성 선택
- 컬렉션 서비스 구성 선택 - 사용자 및 사용자 그룹에 역할 할당
- 위협 인텔리전스 소스 생성
- 위협 인텔리전스 정보를 제공하는 REST 서비스 구성
- 위협 인텔 정보 다운로드 예약
- 소스에 할당할 위협 상세 정보 선택
- 공격 모드/방식 생성(수동)
- 소스, 맬웨어 유형, 공격 메커니즘, 위협 액터 유형, 설명, 처리, 의도된 효과, 처음 발견됨, 마지막으로 발견됨
- 관련 표시기, 하위 공격 모드/방법, 관련 보안 인시던트주:공격 모드/방법도 위협 피드 소스에서 자동으로 생성됩니다.
- 다음 위협 정보 범주에 대한 기본 목록 설정:
- 공격 메커니즘
- 디스커버리 방법
- 피드
- 표시기 유형
- 의도된 효과
- 알림
- 옵저버블 유형
- 속도 제한 정의
- 위협 액터 유형
- 공격 동기
- 인프라 유형
- 맬웨어 역량
- 맬웨어 유형
- 보고서 유형
- 위협 액터 역할
- 도구 유형
테넌트 도메인이 자체 애플리케이션 데이터를 관리하는 방법
- 테넌트 도메인 소유자는 고유한 TAXII 서비스 프로파일을 만들 수 있습니다.
- 테넌트 도메인 소유자는 고유한 위협 인텔리전스 소스를 만들 수 있습니다.
- 테넌트 도메인 소유자는 고유한 공격 모드/방법을 만들 수 있습니다.
- 테넌트 도메인 소유자는 위협 정보 범주에 대한 고유한 기본 목록을 만들 수 있습니다.