Domain Separation e Inteligência contra ameaças

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 6 min. de leitura

    • A separação de domínio é compatível com o módulo Inteligência contra ameaças que está disponível como parte do Security Incident Response. O Domain Separation permite separar dados, processos e tarefas administrativas em agrupamentos lógicos chamados de domínios. Você pode controlar vários aspectos dessa separação, incluindo quais usuários podem ver e acessar os dados.

    Nível de suporte: Básico

    • Inclui nível de suporte Básico.
    • Lógica de negócios: o provedor de serviço (SP) cria ou modifica processos por cliente. Os casos de uso refletem o uso adequado do aplicativo por vários clientes de SP em uma única instância.
    • O proprietário da instância deve configurar a lógica de negócios do produto minimamente viável (MVP) e os parâmetros de dados por locatário conforme esperado para o aplicativo específico.

    Exemplo de caso de uso: um administrador deve ser capaz de fazer os comentários necessários quando um registro é encerrado para um locatário, mas não para outro.

    Para obter mais informações sobre os níveis de suporte, consulte Suporte de aplicação para separação de domínio.

    Visão geral

    No módulo Inteligência contra ameaças (como parte da aplicação Security Incident Response), a separação de domínio permite que os provedores de serviço (SPs) criem e gerenciem o repositório de inteligência contra ameaças das seguintes maneiras:

    • Origens de ameaça e perfis de TAXII (Trusted Automated Exchange of Indicator Information, troca automatizada confiável de informações de indicador)
    • Observáveis
    • Indicadores de comprometimento
    • Modos/métodos de ataque de ameaça e gestão de casos em toda a base de clientes que atendem com custos operacionais reduzidos e uma qualidade de serviço superior

    Ter espaços de trabalho do cliente separados para fluxos de trabalho, painéis, relatórios e assim por diante garante que os dados do cliente sejam separados e nunca sejam expostos a outros clientes.

    Suporte à separação de domínio em Inteligência contra ameaças por versão

    A separação de domínio para o módulo Inteligência contra ameaças (como parte da aplicação Security Incident Response ) abrange a seguinte funcionalidade do produto:
    • Os observáveis de incidente de segurança são direcionados para o domínio apropriado do usuário cujo ID/credencial/escopo gera o incidente. Os observáveis extraídos do incidente são armazenados no domínio do incidente de segurança.
    • Configuração de perfis de serviço TAXII para baixar uma ou mais coleções TAXII que oferecem feeds de informações de ameaças cibernéticas. A configuração é armazenada no domínio no qual o perfil está sendo configurado.
    • Configurar o download de feeds de ameaças para o repositório IOC no domínio em que a configuração está sendo realizada.
    • Criação de modo/métodos de ataque no domínio da origem de inteligência contra ameaças que fornece as informações automaticamente ou o domínio no qual um novo modo/método de ataque está sendo adicionado manualmente pelo usuário
    • Criação de casos para investigação de longo prazo de incidentes, observáveis, ICs, usuários e indicadores de comprometimento (IOC) associados ao caso. O caso é armazenado no domínio criado pelo usuário.
    Nota:
    Em todos os casos acima, os princípios abrangentes de visibilidade em domínios separados na NOW Platform se aplicam. Como sempre, um incidente no domínio primário pode fazer referência a artefatos no domínio secundário, mas não o contrário.

    Como a separação de domínio funciona em Inteligência contra ameaças (como parte de Security Incident Response)

    A Inteligência contra ameaças faz parte do Security Incident Response nos níveis Professional e Enterprise, mas não com o nível Standard. Portanto, um plug-in separado é necessário. O módulo Inteligência contra ameaças (como parte da aplicação Security Incident Response ) cria e gerencia as informações de inteligência contra ameaças associadas a incidentes de segurança em uma organização. Os casos de uso a seguir reconhecem a separação de domínio:

    • Criação de observáveis de incidente de segurança no momento da criação do incidente
      • De analisadores de e-mail (baseado em plataforma, phishing relatado pelo usuário, personalizado)
      • De aplicações em armazenamentos de gestão de eventos e informações de segurança (SIEM) de terceiros
      • Digitado manualmente pelo analista do SOC
    • Coleção de observáveis de fontes de feed de ameaças – Fontes de inteligência contra ameaças de coletas de TAXII
    • Gerenciar observáveis de incidentes de segurança
      • Associar observáveis a indicadores relacionados
      • Associar observáveis a incidentes de segurança
      • Associar observáveis a observáveis secundários
      • Associar observável à origem do feed de ameaças
      • Adicionar anotações de segurança a observáveis
    • Gerenciar indicadores de comprometimento
      • Associar indicadores a observáveis relacionados
      • Associar indicadores ao modo/método de ataque
      • Associar indicadores a tipos de indicador
      • Associar indicadores à origem do feed de ameaças
      • Adicionar anotações de segurança a indicadores
    • Gerenciar casos
      • Criar caso (manualmente ou a partir de um incidente)
      • Editar um novo caso para adicionar detalhes (escolha o tipo de caso e a severidade, adicione incidentes, observáveis, itens de configuração, usuários, indicadores)
      • Excluir um caso

    Configuração do Domain Separation

    Configurar o Domain Separation para Inteligência contra ameaças não requer etapas adicionais. Todas as tabelas de Inteligência contra ameaças adquirem a coluna Domínio depois que a instância é separada por domínio.

    Dados separados por domínio

    Os dados podem ser separados por domínio, o que significa:

    • Os observáveis de incidente de segurança em um domínio não podem ser exibidos no escopo de outros domínios.
    • Os indicadores de comprometimento em um domínio não podem ser exibidos no escopo de outros domínios.
    • Os modos/métodos de ataque associados a um domínio não podem ser exibidos no escopo de outros domínios.
    • Os perfis de serviço TAXII associados a um domínio não podem ser exibidos no escopo de outros domínios.
    • As origens de inteligência contra ameaças associadas a um domínio não podem ser exibidas no escopo de outros domínios.
    • Os casos associados a um domínio não podem ser exibidos no escopo de outros domínios.
    As propriedades da Inteligência contra ameaças são definidas no nível global e, portanto, não são separadas por domínio. As configurações incluem:
    • O nome de domínio para recuperar informações adicionais para endereços IP/URLs
    • A chave de API a ser usada para recuperação
    • Pesquisa de tabelas IoC locais antes de enviar para o scanner remoto
    • Número de dias em que os observáveis locais são considerados
    • Marcar um modo/método de ataque como inativo quando não for recebido de fontes de informações de ameaça
    • Marcar um indicador como inativo quando não for recebido de qualquer origem por um número especificado de dias

    Configuração

    Todos os aspectos da configuração da funcionalidade de inteligência contra ameaças são autônomos em um ambiente separado por domínio.

    As tarefas a seguir podem ser configuradas por domínio:

    1. Criação de perfis de serviço TAXII
      • Escolha uma configuração de serviço do Discovery
      • Escolher uma configuração de serviço de coleta - Atribuir funções a usuários e grupos de usuários
    2. Criação de origens de inteligência contra ameaças
      • Configure o serviço REST que fornece as informações de inteligência de ameaça
      • Programar o download de informações de inteligência contra ameaças
      • Escolha as informações de detalhes da ameaça para atribuir à origem
    3. Criação de modo/métodos de ataque (manual)
      • Origem, tipo de malware, mecanismo de ataque, tipo de agente da ameaça, descrição, manipulação, efeito pretendido, visto pela primeira vez, visto pela última vez
      • Indicadores relacionados, modo/método de ataque secundário, incidentes de segurança associados
        Nota:
        Os modos/métodos de ataque também são criados automaticamente a partir das origens do feed de ameaças.
    4. Configuração de listas padrão para as seguintes categorias de informações de ameaça:
      • Mecanismos de ataque
      • Métodos de descoberta
      • Feeds
      • Tipos de indicador
      • Efeitos pretendidos
      • Notificações
      • Tipos de observável
      • Definições de limite de taxa
      • Tipos de agente da ameaça
      • Motivações de ataque
      • Tipos de infraestrutura
      • Capacidades de malware
      • Tipos de malware
      • Tipos de relatório
      • Funções de agente da ameaça
      • Tipos de ferramentas

    Como os domínios de locatário gerenciam seus dados de aplicação próprios

    • Os proprietários de domínio de locatário podem criar seus próprios perfis de serviço TAXII.
    • Os proprietários de domínio de locatário podem criar suas próprias fontes de inteligência contra ameaças.
    • Os proprietários de domínio de locatário podem criar seus próprios modos/métodos de ataque.
    • Os proprietários de domínio de locatário podem criar suas próprias listas padrão para categorias de informações de ameaça.
    Nota:
    A lógica de negócios e os processos permitem que as programações de download da origem da inteligência contra ameaças sejam separadas por domínio pelo proprietário da instância.