Domain Separation e Inteligência contra ameaças

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 6 min. de leitura

    • Domain Separation é compatível com Inteligência contra ameaças Módulo que está disponível como parte da Resposta a incidentes de segurança. O Domain Separation permite separar dados, processos e tarefas administrativas em agrupamentos lógicos chamados de domínios. Você pode controlar vários aspectos dessa separação, incluindo quais usuários podem ver e acessar os dados.

    Nível de suporte: Básico

    • Inclui nível de suporte Básico.
    • Lógica de negócios: o provedor de serviço (SP) cria ou modifica processos por cliente. Os casos de uso refletem o uso adequado do aplicativo por vários clientes de SP em uma única instância.
    • O proprietário da instância deve configurar a lógica de negócios do produto minimamente viável (MVP) e os parâmetros de dados por locatário conforme esperado para o aplicativo específico.

    Exemplo de caso de uso: um administrador deve ser capaz de fazer os comentários necessários quando um registro é encerrado para um locatário, mas não para outro.

    Para obter mais informações sobre os níveis de suporte, consulte Suporte de aplicação para separação de domínio.

    Visão geral

    No módulo Inteligência contra ameaças (como parte da aplicação Resposta a incidentes de segurança), a separação de domínio permite que os provedores de serviço (SPs) criem e gerenciem o repositório de inteligência contra ameaças das seguintes maneiras:

    • Perfis de origens de ameaça e Trusted Automated Exchange of Indicator Information (TAXII)
    • Observáveis
    • Indicadores de comprometimento
    • Modos/métodos de ataque a ameaças e gestão de casos em toda a base de clientes que atendem com custos operacionais reduzidos e uma qualidade de serviço mais alta

    Ter espaços de trabalho do cliente separados para fluxos de trabalho, painéis, relatórios e assim por diante garante que os dados do cliente sejam separados e nunca expostos a outros clientes.

    Suporte ao Domain Separation em Inteligência contra ameaças por versão

    Separação de domínios para o módulo Inteligência contra ameaças (como parte do Resposta a incidentes de segurança(aplicação) abrange as seguintes funcionalidades do produto:
    • Os observáveis de incidentes de segurança são direcionados para o domínio apropriado do usuário cujo ID/Credencial/Escopo gera o incidente. Os observáveis extraídos do incidente são armazenados no domínio do incidente de segurança.
    • Configuração de perfis de serviço do TAXII para baixar uma ou mais coleções do TAXII que oferecem feeds de informações de ameaças cibernéticas. A configuração é armazenada no domínio no qual o perfil está sendo configurado.
    • Configuração do download de feeds de ameaças no repositório IOC no domínio no qual a configuração está sendo realizada.
    • Criação de modos/métodos de ataque no domínio da origem de inteligência contra ameaças que fornece as informações automaticamente ou o domínio no qual um novo modo/método de ataque está sendo adicionado manualmente pelo usuário
    • Criação de casos para investigação de longo prazo de incidentes, observáveis, ICs, usuários e indicadores de comprometimento (IOC) associados ao caso. O caso é armazenado no domínio criado pelo usuário.
    Nota:
    Em todos os casos acima, os princípios abrangentes de visibilidade em domínios separados na NOW Platform se aplicam. Como sempre, um incidente no domínio primário pode fazer referência a artefatos no domínio secundário, mas não o contrário.

    Como o Domain Separation funciona no Inteligência contra ameaças(como parte de Resposta a incidentes de segurança)

    A Inteligência contra ameaças faz parte da Resposta a incidentes de segurança nas camadas Professional e Enterprise, mas não na camada Standard. Um plug-in separado é necessário. O módulo Inteligência contra ameaças (como parte do Resposta a incidentes de segurança cria e gerencia as informações de inteligência contra ameaças associadas a incidentes de segurança em uma organização. Os seguintes casos de uso reconhecem a separação de domínios:

    • Criação de observáveis de incidentes de segurança no momento da criação do incidente
      • De analisadores de e-mail (baseado em plataforma, phishing relatado pelo usuário, personalizado)
      • De aplicações em armazenamentos do Security Information and Event Management (SIEM) de terceiros
      • Inserido manualmente pelo analista do SOC
    • Coleção de observáveis de origens do feed de ameaças - origens de inteligência contra ameaças de coleções TAXII
    • Gerenciar observáveis de incidentes de segurança
      • Associe observáveis a indicadores relacionados
      • Associe observáveis a incidentes de segurança
      • Associe observáveis a observáveis secundários
      • Associe o observável à origem do feed de ameaças
      • Adicione anotações de segurança aos observáveis
    • Gerenciar indicadores de comprometimento
      • Associe indicadores a observáveis relacionados
      • Associe indicadores ao modo/método de ataque
      • Associe indicadores a tipos de indicador
      • Associe indicadores à origem do feed de ameaças
      • Adicione anotações de segurança aos indicadores
    • Gerenciar casos
      • Criar caso (manualmente ou a partir de um incidente)
      • Editar um novo caso para adicionar detalhes (escolha o tipo de caso e a gravidade, adicionar incidentes, observáveis, itens de configuração, usuários, indicadores)
      • Exclua um caso

    Configuração do Domain Separation

    A configuração do Domain Separation para Inteligência contra ameaças não requer etapas adicionais. Todas as tabelas de Inteligência contra ameaças adquirem a coluna Domínio depois que a instância é separada por domínio.

    Dados separados por domínio

    Os dados podem ser separados por domínio, o que significa:

    • Observáveis de incidentes de segurança em um domínio não podem ser exibidos no escopo de outros domínios.
    • Indicadores de comprometimento em um domínio não podem ser exibidos no escopo de outros domínios.
    • Os modos/métodos de ataque associados a um domínio não podem ser exibidos no escopo de outros domínios.
    • Os perfis de serviço TAXII associados a um domínio não podem ser exibidos no escopo de outros domínios.
    • As origens de inteligência contra ameaças associadas a um domínio não podem ser exibidas no escopo de outros domínios.
    • Os casos associados a um domínio não podem ser exibidos no escopo de outros domínios.
    As propriedades da Inteligência contra ameaças são definidas no nível global e, portanto, não são separadas por domínio. As configurações incluem:
    • O nome do domínio para recuperar informações adicionais para endereços IP/URLs
    • A chave de API a ser usada para recuperação
    • Pesquisa de tabelas IOC locais antes de enviar para o scanner remoto
    • Número de dias em que observáveis locais são considerados
    • Marcar um modo/método de ataque como inativo quando não recebido de fontes de informações de ameaça
    • Marcando um indicador como inativo quando não recebido de nenhuma origem por um número especificado de dias

    Configuração

    Todos os aspectos da configuração da funcionalidade de inteligência contra ameaças são independentes em um ambiente separado por domínio.

    As seguintes tarefas podem ser configuradas por domínio:

    1. Criação de perfis de serviço TAXII
      • Escolha uma configuração de serviço da Descoberta
      • Escolha uma configuração de serviço de coleção - Atribua funções a usuários e grupos de usuários
    2. Criação de fontes de inteligência contra ameaças
      • Configure o serviço REST que fornece as informações de informações sobre ameaças
      • Programe o download de informações de informações sobre ameaças
      • Escolha as informações de detalhes da ameaça para atribuir à origem
    3. Criação de modos/métodos de ataque (manual)
      • Origem, tipo de malware, mecanismo de ataque, tipo de agente de ameaça, descrição, efeito pretendido, visto pela primeira vez, visto pela última vez
      • Indicadores relacionados, modo/método de ataque secundário, incidentes de segurança associados
        Nota:
        Os modos/métodos de ataque também são criados automaticamente a partir das origens do feed de ameaças.
    4. Definir listas padrão para as seguintes categorias de informações de ameaça:
      • Mecanismos de ataque
      • Métodos de descoberta
      • Feeds
      • Tipos de indicador
      • Efeitos pretendidos
      • Notificações
      • Tipos de observável
      • Definições de limite de taxa
      • Tipos de agente da ameaça
      • Motivações de ataque
      • Tipos de infraestrutura
      • Capacidades de malware
      • Tipos de malware
      • Tipos de relatório
      • Funções do agente de ameaça
      • Tipos de ferramenta

    Como os domínios de locatário gerenciam seus dados de aplicação próprios

    • Os proprietários do domínio do locatário podem criar seus próprios perfis de serviço TAXII.
    • Os proprietários do domínio do locatário podem criar suas próprias fontes de inteligência contra ameaças.
    • Os proprietários do domínio do locatário podem criar seus próprios modos/métodos de ataque.
    • Os proprietários do domínio do locatário podem criar suas próprias listas padrão para categorias de informações de ameaça.
    Nota:
    A lógica de negócios e os processos permitem que os cronogramas de download da fonte de inteligência contra ameaças sejam separados por domínio pelo proprietário da instância.