Domain Separation e Inteligência contra ameaças

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 6 min. de leitura

    • O Domain Separation é compatível com o módulo Inteligência contra ameaças, que está disponível como parte do Security Incident Response. O Domain Separation permite separar dados, processos e tarefas administrativas em agrupamentos lógicos chamados de domínios. Você pode controlar vários aspectos dessa separação, incluindo quais usuários podem ver e acessar os dados.

    Nível de suporte: Básico

    • Inclui nível de suporte Básico.
    • Lógica de negócios: o provedor de serviço (SP) cria ou modifica processos por cliente. Os casos de uso refletem o uso adequado do aplicativo por vários clientes de SP em uma única instância.
    • O proprietário da instância deve configurar a lógica de negócios do produto minimamente viável (MVP) e os parâmetros de dados por locatário conforme esperado para o aplicativo específico.

    Exemplo de caso de uso: um administrador deve ser capaz de fazer os comentários necessários quando um registro é encerrado para um locatário, mas não para outro.

    Para obter mais informações sobre os níveis de suporte, consulte Suporte de aplicação para separação de domínio.

    Visão geral

    No módulo Inteligência contra ameaças (como parte da aplicação Security Incident Response), o Domain Separation permite que os provedores de serviço (SPs) criem e gerenciem o repositório de inteligência contra ameaças das seguintes maneiras:

    • Origens de ameaças e perfis TAXII (Trusted Automated Exchange of Indicator Information, troca automatizada confiável de informações de indicadores)
    • Observáveis
    • Indicadores de comprometimento
    • Modos/métodos de ataque de ameaças e gestão de casos em toda a base de clientes que atendem com custos operacionais reduzidos e uma qualidade de serviço superior

    Ter espaços de trabalho do cliente separados para fluxos de trabalho, painéis, relatórios e assim por diante garante que os dados do cliente sejam separados e nunca expostos a outros clientes.

    Suporte à separação de domínio em Inteligência contra ameaças por versão

    O Domain Separation para o módulo Threat Intelligence (como parte da aplicação Security Incident Response ) abrange a seguinte funcionalidade do produto:
    • Os observáveis de incidente de segurança são direcionados para o domínio apropriado do usuário cujo ID/credencial/escopo gera o incidente. Os observáveis extraídos do incidente são armazenados no domínio do incidente de segurança.
    • Configuração de perfis de serviço TAXII para baixar uma ou mais coleções TAXII que oferecem feeds de informações de ameaças cibernéticas. A configuração é armazenada no domínio sob o qual o perfil está sendo configurado.
    • Configurar o download de feeds de ameaças para o repositório IOC no domínio em que a configuração está sendo realizada.
    • Criação de modo/métodos de ataque no domínio da origem de inteligência contra ameaças que fornece as informações automaticamente ou o domínio sob o qual um novo modo/método de ataque está sendo adicionado manualmente pelo usuário
    • Criação de casos para investigação de longo prazo de incidentes, observáveis, ICs, usuários e indicadores de comprometimento (IOC) associados ao caso. O caso é armazenado no domínio criado pelo usuário.
    Nota:
    Em todos os casos acima, aplicam-se os princípios abrangentes de visibilidade em domínios separados na NOW Platform. Como sempre, um incidente no domínio primário pode fazer referência a artefatos no domínio secundário, mas não o contrário.

    Como o Domain Separation funciona em Inteligência contra ameaças (como parte de Security Incident Response)

    A Inteligência contra ameaças faz parte do Security Incident Response nos níveis Professional e Enterprise, mas não com o nível Standard. Portanto, um plug-in separado é necessário. O módulo Inteligência contra ameaças (como parte da aplicação Security Incident Response ) cria e gerencia as informações de inteligência contra ameaças associadas a incidentes de segurança em uma organização. Os seguintes casos de uso reconhecem a separação de domínios:

    • Criação de observáveis de incidentes de segurança no momento da criação do incidente
      • De analisadores de e-mail (baseado em plataforma, phishing relatado pelo usuário, personalizado)
      • De aplicações em armazenamentos de gestão de eventos e informações de segurança (SIEM) de terceiros
      • Digitado manualmente pelo analista do SOC
    • Coleta de observáveis de origens de feed de ameaças - Origens de inteligência contra ameaças de coleções TAXII
    • Gerenciar observáveis de incidentes de segurança
      • Associar observáveis a indicadores relacionados
      • Associar observáveis a incidentes de segurança
      • Associar observáveis a observáveis secundários
      • Associar observável à origem do feed de ameaças
      • Adicionar anotações de segurança a observáveis
    • Gerenciar indicadores de comprometimento
      • Associar indicadores a observáveis relacionados
      • Associar indicadores ao modo/método de ataque
      • Associar indicadores a tipos de indicador
      • Associar indicadores à origem do feed de ameaças
      • Adicionar anotações de segurança aos indicadores
    • Gerenciar casos
      • Criar caso (manualmente ou a partir de um incidente)
      • Edite um novo caso para adicionar detalhes (escolha o tipo de caso e a gravidade, adicione incidentes, observáveis, itens de configuração, usuários, indicadores)
      • Excluir um caso

    Configuração do Domain Separation

    A configuração do Domain Separation para Inteligência contra ameaças não requer etapas adicionais. Todas as tabelas de Inteligência contra ameaças adquirem a coluna Domínio depois que a instância é separada por domínio.

    Dados separados por domínio

    Os dados podem ser separados por domínio, o que significa:

    • Os observáveis de incidente de segurança em um domínio não podem ser exibidos no escopo de outros domínios.
    • Indicadores de comprometimento em um domínio não podem ser exibidos no escopo de outros domínios.
    • Os modos/métodos de ataque associados a um domínio não podem ser exibidos no escopo de outros domínios.
    • Os perfis de serviço TAXII associados a um domínio não podem ser exibidos no escopo de outros domínios.
    • As origens de inteligência contra ameaças associadas a um domínio não podem ser exibidas no escopo de outros domínios.
    • Casos associados a um domínio não podem ser exibidos no escopo de outros domínios.
    As propriedades de Inteligência contra ameaças são definidas no nível global e, portanto, não são separadas por domínio. As configurações incluem:
    • O nome do domínio para recuperar informações adicionais para endereços IP/URLs
    • A chave de API a ser usada para recuperação
    • Pesquisa de tabelas IoC locais antes de enviar para o scanner remoto
    • Número de dias em que os observáveis locais são considerados
    • Marcar um modo/método de ataque como inativo quando não for recebido de fontes de informações sobre ameaças
    • Marcar um indicador como inativo quando não for recebido de nenhuma origem por um número especificado de dias

    Configuração

    Todos os aspectos da configuração da funcionalidade de inteligência contra ameaças são autocontidos em um ambiente separado por domínio.

    As seguintes tarefas podem ser configuradas por domínio:

    1. Criação de perfis de serviço TAXII
      • Escolha uma configuração de serviço de descoberta
      • Escolha uma configuração de serviço de coleta - Atribua funções a usuários e grupos de usuários
    2. Criação de origens de inteligência contra ameaças
      • Configurar o serviço REST que fornece as informações de inteligência sobre ameaças
      • Programar o download de informações de inteligência contra ameaças
      • Escolha as informações de detalhes da ameaça para atribuir à origem
    3. Criação de modo/métodos de ataque (manual)
      • Origem, tipo de malware, mecanismo de ataque, tipo de agente da ameaça, descrição, manipulação, efeito pretendido, visto pela primeira vez, visto pela última vez
      • Indicadores relacionados, modo/método de ataque secundário, incidentes de segurança associados
        Nota:
        Os modos/métodos de ataque também são criados automaticamente a partir das origens do feed de ameaças.
    4. Definição de listas padrão para as seguintes categorias de informações de ameaças:
      • Mecanismos de ataque
      • Métodos de descoberta
      • Feeds
      • Tipos de indicador
      • Efeitos pretendidos
      • Notificações
      • Tipos de observável
      • Definições de limite de taxa
      • Tipos de agente da ameaça
      • Motivações de ataque
      • Tipos de infraestrutura
      • Capacidades de malware
      • Tipos de malware
      • Tipos de relatório
      • Funções de agente da ameaça
      • Tipos de ferramenta

    Como os domínios de locatário gerenciam seus dados de aplicação próprios

    • Os proprietários de domínio de locatário podem criar seus próprios perfis de serviço TAXII.
    • Os proprietários de domínio de locatário podem criar suas próprias origens de inteligência contra ameaças.
    • Os proprietários de domínio de locatário podem criar seus próprios modos/métodos de ataque.
    • Os proprietários de domínio de locatário podem criar suas próprias listas padrão para categorias de informações de ameaça.
    Nota:
    A lógica e os processos de negócios permitem que os cronogramas de download da origem da inteligência contra ameaças sejam separados por domínio pelo proprietário da instância.