Separação de domínios e Resposta a incidentes de segurança
Separação de domínios é compatível com Resposta a incidentes de segurança. O Domain Separation permite separar dados, processos e tarefas administrativas em agrupamentos lógicos chamados de domínios. Você pode controlar vários aspectos dessa separação, incluindo quais usuários podem ver e acessar os dados.
Nível de suporte: Padrão
- Inclui todos os aspectos do suporte de nível básico.
- As propriedades da aplicação reconhecem o domínio conforme necessário.
- Lógica de negócios: o provedor de serviço (SP) cria ou modifica processos por cliente. Os casos de uso refletem o uso adequado do aplicativo por vários clientes de SP em uma única instância.
- O proprietário da instância deve configurar a lógica de negócios do produto minimamente viável (MVP) e os parâmetros de dados por locatário conforme esperado para o aplicativo específico.
Exemplo de caso de uso: um administrador deve ser capaz de fazer os comentários necessários quando um registro é encerrado para um locatário, mas não para outro.
Para obter mais informações sobre os níveis de suporte, consulte Suporte de aplicação para separação de domínio.
Visão geral
Na aplicação Resposta a incidentes de segurança, o Domain Separation permite que os provedores de serviço (SPs) padronizem os procedimentos do SOC (Security Operations Center) e do Security Incident Response (SIR) em toda a base de clientes que atendem com custos operacionais reduzidos e uma qualidade de serviço superior. Separar espaços do cliente para fluxos de trabalho, painéis, relatórios e assim por diante garante que os dados do cliente sejam separados e nunca expostos a outros clientes.
| Versão | Nível de suporte | Anotações |
|---|---|---|
| Genebra, Helsinki | Sem suporte | Início da separação de domínios em nível de dados |
| Istambul | Somente dados | |
| Jakarta | Nível 2 (Dados, Solicitante, Executante) | Novos recursos: suporte a integrações de terceiros com separação de domínio de nível 2 em uma única instância de integração, incluindo integrações de Inteligência contra ameaças |
| Kingston | Nível 2 (Dados, Solicitante, Executante) | Novos recursos: a integração da Pesquisa de detecções para SIR está habilitada com várias instâncias, mas todas as instâncias ainda estão em um único domínio. Exemplo: se houver duas instâncias de uma integração do Splunk configuradas (SplunkCLOUD e SplunkCORP), ambas ainda serão aproveitadas para atividades de resposta a incidentes em um único domínio, onde a implementação foi configurada originalmente. |
| Londres | Nível 2 (Dados, Solicitante, Executante) | Novos recursos: todas as integrações residem em vários domínios |
| Madri | Nível 2 (Dados, Solicitante, Executante) | Todas as integrações agora podem residir em vários domínios. No exemplo acima, SplunkCloud pode ser domain1 e SplunkCORP domain2. |
| Nova York | Nível 2 (Dados, Solicitante, Executante) | Todas as integrações residem em vários domínios. |
| Orlando | Padrão | Todas as integrações residem em vários domínios. |
| Paris | Padrão | Todas as integrações residem em vários domínios. |
O Domain Separation para a aplicação Resposta a incidentes de segurança cobre a seguinte funcionalidade do produto:
- Os alertas de segurança são direcionados para o domínio apropriado do usuário cujo ID/credencial/escopo gera o incidente e está registrado como um incidente de segurança.
- Os alertas geram “observáveis”, que representam propriedades com monitoramento de estado ou eventos mensuráveis: fluxos de trabalho de segurança no domínio do incidente de segurança são usados para orquestrar a resposta.
- As integrações são configuradas no domínio do incidente de segurança para automação de resposta.
- As capacidades são configuradas no domínio do incidente de segurança para automação de resposta. Esses recursos (a partir da versão Kingston) incluem:
- Pesquisa de ameaças
- Aprimorar Observável
- Aprimorar item de configuração
- Obter processo em execução
- Obter estatísticas de rede
- Bloquear Solicitação
- Isolar Host
- Pesquisa de Vistas
- Pesquisa e Exclusão de E-mails
- Publicar na lista de observação
- Os resultados da automação de resposta (como Pesquisa de ameaças ou Pesquisa de detecções) são armazenados no domínio do incidente de segurança.
- Outros incidentes de segurança são referenciados cruzadamente no mesmo domínio do incidente de segurança com base em um conjunto compartilhado de observáveis.
- Outros usuários têm referência cruzada no domínio do incidente de segurança.
- Os itens de configuração têm referência cruzada no mesmo domínio do incidente de segurança.
- Tarefas de resposta manual são adicionadas ao domínio do incidente de segurança.
- Artigos da base de conhecimento e livros de execução são referenciados no domínio do incidente de segurança.
- As métricas do Security Incident Response pertinentes a incidentes no domínio são exibidas em painéis e também em relatórios.
Nota:
Nos casos anteriores, aplicam-se os princípios abrangentes de visibilidade em domínios separados na NOW Platform. Como sempre, um incidente no domínio primário pode fazer referência a artefatos no domínio secundário, mas não o contrário.
Como o Domain Separation funciona no Security Incident Response
A aplicação Resposta a incidentes de segurança gerencia o ciclo de vida de um incidente de segurança de ponta a ponta. Os seguintes casos de uso reconhecem a separação de domínios:
- Ingestão de eventos e alertas para criar incidentes de segurança para o analista no SOC do cliente ou o MSP responder:
- Analisadores de e-mail (baseado em plataforma, phishing relatado pelo usuário, personalizado)
- Eventos/alertas de desduplicação antes da criação do incidente
- Extração automática de observáveis
- Aplicações no armazenamento SIEM de terceiros
- Aprimoramento de artefatos envolvidos nos incidentes (IP, URLs, domínios, hashes de arquivo):
- Aprimoramento de ativos (CMDB)
- Usuários (plataforma)
- Automação: enriquecimento de observável (por exemplo: WhoIs)
- Investigar os incidentes com a ajuda dos artefatos e sua reputação ou associação com ameaças conhecidas
- Orquestrar: playbooks e artigos da base de conhecimento
- Automação: pesquisa de ameaças (por exemplo: VirusTotal), pesquisa de detecções (por exemplo: Splunk), obter processos em execução (por exemplo: Carbon Black)
- Eliminar os artefatos relacionados a ameaças envolvidos no incidente com base na investigação realizada
- Orquestrar: playbooks e artigos da base de conhecimento
- Automação: pesquisa e exclusão de e-mail (por exemplo: Microsoft Exchange), Bloquear IP (por exemplo: firewall da Palo Alto)
- Medir a eficiência ou as operações de resposta a incidentes
- Painéis do Performance Analytics: tendências de produtividade e incidentes
- Reconstrução de etapas de investigação de incidentes a partir de anotações de trabalho
- Revisão pós-incidente
Configuração do Domain Separation
A configuração do Domain Separation para Resposta a incidentes de segurança não requer etapas adicionais. Todas as tabelas Resposta a incidentes de segurança adquirem a coluna Domínio depois que a instância é separada por domínio.
Dados separados por domínio
Os dados podem ser separados por domínio, o que significa:
- Os incidentes de segurança em um domínio não podem ser exibidos em outros domínios.
- Os observáveis extraídos do incidente de segurança são colocados no mesmo domínio e não podem ser exibidos de outros domínios.
- Até a versão Kingston, as integrações de terceiros configuradas existem no domínio global e podem ser acessadas por todos os outros domínios na instância.
- Na versão Madrid, as integrações de terceiros podem ser configuradas e ativadas por domínio. Isso significa que a integração ativada e configurada em um domínio não pode ser aproveitada em outro domínio.
- As automações executadas nos observáveis usando integrações de terceiros (para investigação de ameaças, contenção ou erradicação) colocam seus resultados no domínio do incidente de segurança e os resultados não podem ser exibidos em outro domínio.
- Os fluxos de trabalho de Orquestração criados em um domínio não são visíveis em outro domínio.
- As capacidades (conforme delineadas na lista de funções de capacidades anteriores) que são invocadas permanecem genéricas entre domínios com implementação específica de domínio da capacidade que está sendo chamada. Por exemplo, uma pesquisa de detecções em um IP pode invocar uma implementação Splunk em um domínio e uma implementação QRadar em outro.
Configuração
Todos os aspectos da configuração do produto são autocontidos em um ambiente separado por domínio. A configuração pode ser personalizada para domínios individuais.
Nota:
A lógica de negócios e os processos nos itens 2 a 5 abaixo podem ser administrados no domínio do locatário.
As seguintes tarefas devem ser configuradas:
- Administração do Sistema
- Atribua funções a usuários e grupos de usuários: funções de usuário instaladas com o Security Incident Response
- Instale um ou mais plug-ins de integração de terceiros para trabalhar com Resposta a incidentes de segurança: Integrações do Resposta a incidentes de segurança
- Resposta a incidentes de segurança Administration
- Adicionar ou revisar funções: Componentes instalados com Resposta a incidentes de segurança
- Configurar grupos e usuários: Criar um grupo de incidentes de segurança
- Configurar escalações de incidentes: Escalar um incidente de segurança
- Configurar calculadoras de pontuação de risco de incidente de segurança: Noções básicas sobre calculadoras de incidentes de segurança
- Configurar acordos de nível de serviço: Criar um Resposta a incidentes de segurança ANS
- Configure as definições do processo de incidente de segurança: Noções básicas sobre a definição do processo do Security Incident Response
- Configurar processos de revisão pós-incidente: Gerenciar atividades pós-incidente
- Configurações de e-mail de incidente de segurança
- Definir a caixa de entrada de análise de e-mail: Operações de segurança análise de e-mail
- Configure analisadores de e-mail para ingestão de alertas: Criar analisadores de e-mail em Operações de segurança
- Configure regras de correspondência de e-mail para phishing relatado pelo usuário: Criar regras para validar ataques de phishing relatados por usuários
- Configurar ações de e-mail de entrada:Ações de e-mail de entrada
- Configurações do playbook de incidente de segurança
- Revise e configure documentos do runbook: Criar um runbook do Security Incident Response
- Configure fluxos de trabalho de incidentes de segurança: Operações de segurança funcionalidade comum
- Configurações de capacidade
- Bloquear solicitação: Integração de Operações de segurança - Capacidade de solicitação de bloqueio
- Pesquisa e exclusão de e-mail: Integração de Operações de segurança - Capacidade de pesquisa e exclusão de e-mail
- Aprimorar item de configuração: Integração de Operações de segurança - Capacidade de IC aprimorada
- Aprimorar observável: Integração de Operações de segurança - Capacidade de aprimorar observável
- Obter estatísticas de rede: Capacidade de Integração de Operações de segurança - Obter estatísticas de rede
- Obter processos em execução: Capacidade de Obter processos em execução da Integração de Operações de segurança
- Isolar host: Integração de Operações de segurança - Capacidade de isolamento de host
- Publicar na lista de observação: Integração de Operações de segurança - Capacidade de publicar na lista de observação
- Pesquisa de detecções: Integração de Operações de segurança - Capacidade de pesquisa de detecções
- Pesquisa de ameaças: Integração de Operações de segurança - Capacidade de pesquisa de ameaças
Como os domínios de locatário gerenciam seus dados de aplicação próprios
- Os proprietários de domínio de locatário criam suas próprias regras de análise de e-mail para ingerir incidentes de segurança.
- Os proprietários de domínio de locatário podem configurar integrações específicas exclusivamente para uso dentro do domínio.
- Os proprietários de domínio de locatário podem criar seus próprios fluxos de trabalho de resposta a incidentes.
- Os proprietários de domínio de locatário podem criar suas próprias categorias de incidentes, artigos da base de conhecimento de resposta a incidentes e runbooks a serem associados a fluxos de trabalho de resposta a incidentes.
- Os usuários do domínio do locatário criam e encerram seus próprios incidentes de segurança.
Lógica de negócios e processos que podem ser separados por domínio pelo proprietário da instância
- Resposta a incidentes de segurança usuários e grupos
- Resposta a incidentes de segurança integrações (a partir da versão Madrid)
- Regras de análise de e-mail para criação de incidentes
- Regras de negócio para consolidar vários eventos ou alertas em um incidente de segurança
- Fluxos de trabalho para orquestração de resposta a incidentes
- Calculadoras de pontuação de risco de incidente de segurança
- Caminho de escalação de incidente de segurança
- ANS de incidente de segurança
- Definições do processo de incidente de segurança
- Processos de análise pós-incidente de segurança