Separação de domínios e Resposta a incidentes de segurança
Separação de domínios é compatível com Resposta a incidentes de segurança. O Domain Separation permite separar dados, processos e tarefas administrativas em agrupamentos lógicos chamados de domínios. Você pode controlar vários aspectos dessa separação, incluindo quais usuários podem ver e acessar os dados.
Nível de suporte: Padrão
- Inclui todos os aspectos do nível de suporte Básico.
- As propriedades da aplicação reconhecem o domínio quando necessário.
- Lógica de negócios: o provedor de serviço (SP) cria ou modifica processos por cliente. Os casos de uso refletem o uso adequado do aplicativo por vários clientes de SP em uma única instância.
- O proprietário da instância deve configurar a lógica de negócios do produto minimamente viável (MVP) e os parâmetros de dados por locatário conforme esperado para o aplicativo específico.
Exemplo de caso de uso: um administrador deve ser capaz de fazer os comentários necessários quando um registro é encerrado para um locatário, mas não para outro.
Para obter mais informações sobre os níveis de suporte, consulte Suporte de aplicação para separação de domínio.
Visão geral
Em Resposta a incidentes de segurançaA separação de aplicações e domínios permite que os provedores de serviços (SPs) padronizem os procedimentos de SOC (Centro de operações de segurança) e Resposta a incidentes de segurança (SIR) em toda a base de clientes que atendem com custos operacionais reduzidos e uma qualidade de serviço mais alta. Espaços de cliente separados para fluxos de trabalho, painéis, relatórios e assim por diante garantem que os dados do cliente sejam separados e nunca expostos a outros clientes.
| Versão | Nível de suporte | Anotações |
|---|---|---|
| Genebra, Helsínquia | Sem suporte | Início da separação de domínio no nível de dados |
| Istambul | Somente dados | |
| Jakarta | Nível 2 (dados, solicitante, executante) | Novos recursos Suporte a integrações de terceiros com separação de domínio de nível 2 em uma única instância de integração, incluindo integrações de Inteligência contra ameaças |
| Kingston | Nível 2 (dados, solicitante, executante) | Novos recursos A integração da Pesquisa de detecção para SIR está habilitada com várias instâncias, mas todas as instâncias ainda estão em um único domínio. Exemplo: Se houver duas instâncias de uma integração do Splunk configuradas (SplunkCLOUD e SplunkCORP), ambas ainda serão aproveitadas para atividades de resposta a incidentes em um único domínio, onde a implementação foi originalmente configurada. |
| Londres | Nível 2 (dados, solicitante, executante) | Novos recursos : Todas as integrações residem em vários domínios |
| Madri | Nível 2 (dados, solicitante, executante) | Agora, todas as integrações podem residir em vários domínios. No exemplo acima, SplunkCloud pode ser domain1 e SplunkCORP domain2. |
| Nova York | Nível 2 (dados, solicitante, executante) | Todas as integrações residem em vários domínios. |
| Orlando | Padrão | Todas as integrações residem em vários domínios. |
| Paris | Padrão | Todas as integrações residem em vários domínios. |
Separação de domínio para Resposta a incidentes de segurançaa aplicação abrange as seguintes funcionalidades do produto:
- Os alertas de segurança são direcionados para o domínio apropriado do usuário cujo ID/credencial/escopo gera o incidente e está registrado como um incidente de segurança.
- Os alertas geram "observáveis", que representam propriedades com estado ou eventos mensuráveis: Fluxos de trabalho de segurança no domínio do incidente de segurança são usados para orquestrar a resposta.
- As integrações são configuradas no domínio do incidente de segurança para automação de resposta.
- As capacidades são configuradas no domínio do incidente de segurança para automação de resposta. Essas capacidades (a partir da versão Kingston) incluem:
- Pesquisa de ameaças
- Aprimorar observável
- Item de configuração de aprimoramento
- Obter processo em execução
- Obter Estatísticas de Rede
- Solicitação de bloqueio
- Isolar Host
- Pesquisa de Vistas
- Pesquisa e exclusão de e-mails
- Publicar na lista de observadores
- Os resultados da automação de resposta (como Pesquisa de ameaças ou Pesquisa de detecções) são armazenados no domínio do incidente de segurança.
- Outros incidentes de segurança têm referência cruzada no mesmo domínio do incidente de segurança com base em um conjunto compartilhado de observáveis.
- Outros usuários têm referência cruzada no domínio do incidente de segurança.
- Os itens de configuração têm referência cruzada no mesmo domínio que o incidente de segurança.
- As tarefas de resposta manual são adicionadas ao domínio do incidente de segurança.
- Os artigos da base de conhecimento e livros de execução são referenciados no domínio do incidente de segurança.
- As métricas de Resposta a incidentes de segurança pertinentes a incidentes no domínio são exibidas em painéis e na emissão de relatórios.
Nota:
Nos casos anteriores, os princípios abrangentes de visibilidade em domínios separados na NOW Platform se aplicam. Como sempre, um incidente no domínio primário pode fazer referência a artefatos no domínio secundário, mas não o contrário.
Como a separação de domínio funciona na Resposta a incidentes de segurança
. Resposta a incidentes de segurançaa aplicação gerencia o ciclo de vida de um incidente de segurança de ponta a ponta Os seguintes casos de uso reconhecem a separação de domínio:
- Ingestão de eventos e alertas Para criar incidentes de segurança para que o analista no SOC do cliente ou o MSP responda:
- Analisadores de e-mail (baseados em plataforma, phishing relatado pelo usuário, personalizado)
- Alertas/eventos de desduplicação antes da criação do incidente
- Extração automática de observáveis
- Aplicações no armazenamento SIEM de terceiros
- Aprimoramento De artefatos envolvidos nos incidentes (IP, URLs, domínios, hashes de arquivo):
- Aprimoramento de ativos (CMDB)
- Usuários (plataforma)
- Automação: Aprimoramento de observável (por exemplo: WHOIS)
- Investigue os incidentes com a ajuda dos artefatos e sua reputação ou associação com ameaças conhecidas
- Orquestrar: Playbooks e artigos da base de conhecimento
- Automação: Pesquisa de ameaças (por exemplo: Virustotal), Pesquisa de detecções (por exemplo: Splunk), Obter processos em execução (por exemplo: Carbon Black)
- Erradicar os artefatos relacionados à ameaça envolvidos no incidente com base na investigação realizada
- Orquestrar: Playbooks e artigos da base de conhecimento
- Automação: Pesquisa e exclusão de e-mail (por exemplo: Microsoft Exchange), bloquear IP (por exemplo: Firewall de Palo Alto)
- Medida As operações de resposta a incidentes ou eficiência
- Painéis de Análise de desempenho: Tendências de incidentes e produtividade
- Reconstrução de etapas de investigação de incidente a partir de anotações de trabalho
- Revisão pós-incidente
Configuração de separação de domínio
Configurando separação de domínio para Resposta a incidentes de segurançanão requer etapas adicionais. Todos Resposta a incidentes de segurançaAs tabelas adquirem a coluna Domínio depois que a instância é separada pelo domínio.
Dados separados por domínio
Os dados podem ser separados por domínio, o que significa:
- Os incidentes de segurança em um domínio não podem ser exibidos de outros domínios.
- Os observáveis extraídos do incidente de segurança são colocados no mesmo domínio e não podem ser exibidos de outros domínios.
- Até a versão da Kingston, as integrações de terceiros configuradas existem no domínio global e são acessíveis a todos os outros domínios na instância.
- Na versão Madrid, as integrações de terceiros podem ser configuradas e ativadas por domínio. Isso significa que a integração ativada e configurada em um domínio não pode ser aproveitada em outro domínio.
- As automações executadas nos observáveis usando integrações de terceiros (para investigação, contenção ou erradicação de ameaças) colocam seus resultados no domínio do incidente de segurança e os resultados não podem ser exibidos de outro domínio.
- Os fluxos de trabalho de orquestração criados em um domínio não são visíveis em outro domínio.
- As capacidades (conforme delineadas na lista de funções de capacidades de avanço) que são invocadas permanecem genéricas nos domínios com a implementação específica do domínio da capacidade que está sendo chamada. Por exemplo, uma Pesquisa de avistamento em um IP pode invocar uma implementação Splunk em um domínio e uma implementação do QRadar em outro.
Configuração
Todos os aspectos da configuração do produto são independentes em um ambiente separado por domínio. A configuração pode ser personalizada para domínios individuais.
Nota:
A lógica de negócios e os processos no nº 2-5 abaixo podem ser administrados no domínio do locatário.
As seguintes tarefas devem ser configuradas:
- Administração do Sistema
- Atribuir funções a usuários e grupos de usuários: Funções de usuário instaladas com a Resposta a incidentes de segurança
- Instale um ou mais plug-ins de integração de terceiros com os quais trabalhar Resposta a incidentes de segurança: Integrações do Resposta a incidentes de segurança
- Resposta a incidentes de segurança Administration
- Adicionar ou revisar funções: Componentes instalados com Resposta a incidentes de segurança
- Configurar grupos e usuários: Crie um grupo de incidentes de segurança
- Configurar escalações de incidente: Escale um incidente de segurança
- Configurar calculadoras de pontuação de risco de incidente de segurança: Noções básicas sobre calculadoras de incidentes de segurança
- Configurar acordos de nível de serviço: Crie um Resposta a incidentes de segurançaANS
- Definir definições de processo de incidente de segurança: Noções básicas sobre a definição do processo de resposta a incidentes de segurança
- Configurar processos de revisão pós-incidente: Gerencie atividades pós-incidente
- Configurações de e-mail de incidente de segurança
- Defina a caixa de entrada de análise de e-mail: Operações de segurança análise de e-mail
- Configure analisadores de e-mail para ingestão de alertas: Crie analisadores de e-mail em Operações de segurança
- Configure regras de correspondência de e-mail para phishing relatado pelo usuário: Crie regras para validar ataques de phishing relatados pelo usuário
- Configurar ações de entrada de e-mail: Ações de e-mail de entrada
- Configurações do playbook de incidente de segurança
- Revisar e configurar documentos do runbook: Crie um runbook de resposta a incidentes de segurança
- Configurar fluxos de trabalho de incidente de segurança: Operações de segurança funcionalidade comum
- Configurações de capacidade
- Solicitação de bloqueio: Integração de operações de segurança - capacidade de solicitação de bloqueio
- E-mail de pesquisa e exclusão: Integração de operações de segurança - Capacidade de pesquisa e exclusão de e-mail
- Item de configuração de aprimoramento: Integração de operações de segurança- Enriquecer capacidade de IC
- Aprimorar observável: Integração de operações de segurança- Enriquecer a capacidade observável
- Obter estatísticas de rede: Integração de operações de segurança - Obter capacidade de estatísticas de rede
- Obter processos em execução: Integração de operações de segurança - Obter capacidade de processos em execução
- Host isolado: Integração de operações de segurança - Isolar capacidade do host
- Publicar na lista de observação: Integração de operações de segurança - Publicar na capacidade de lista de observação
- Pesquisa de detecções: Integração de operações de segurança - Capacidade de pesquisa de detecções
- Pesquisa de ameaças: Integração de operações de segurança - Capacidade de pesquisa de ameaças
Como os domínios de locatário gerenciam seus dados de aplicação próprios
- Os proprietários do domínio do locatário criam suas próprias regras de análise de e-mail para ingerir incidentes de segurança.
- Os proprietários do domínio do locatário podem configurar integrações específicas exclusivamente para uso no domínio.
- Os proprietários do domínio do locatário podem criar seus próprios fluxos de trabalho de resposta a incidentes.
- Os proprietários do domínio do locatário podem criar suas próprias categorias de incidentes, artigos da base de conhecimento de resposta a incidentes e runbooks a serem associados aos fluxos de trabalho de resposta a incidentes.
- Os usuários do domínio do locatário criam e encerram seus próprios incidentes de segurança.
Lógica de negócios e processos que podem ser separados por domínio pelo proprietário da instância
- Resposta a incidentes de segurança usuários e grupos
- Resposta a incidentes de segurança Integrações (a partir da versão Madrid)
- Regras de análise de e-mail para criação de incidente
- Regras de negócios para consolidar vários eventos ou alertas em um incidente de segurança
- Fluxos de trabalho para orquestração de resposta a incidentes
- Calculadoras de pontuação de risco de incidente de segurança
- Caminho de escalação de incidente de segurança
- ANS de incidente de segurança
- Definições do processo de incidente de segurança
- Processos de revisão pós-incidente de segurança