도메인 분리 및 보안 인시던트 응답
보안 인시던트 응답에서는 도메인 분리가 지원됩니다. 도메인 분리를 사용하여 데이터, 프로세스 및 관리 작업을 도메인이라는 논리적 그룹으로 분할할 수 있습니다. 어떤 사용자가 데이터를 보고 액세스할 수 있는지를 포함하여 이러한 분리의 여러 측면을 제어할 수 있습니다.
지원 수준: 표준
- 기본 수준 지원의 모든 측면을 포함합니다.
- 애플리케이션 속성이 필요에 따라 도메인을 인식합니다.
- 비즈니스 논리: 서비스 제공자(SP)가 고객별로 프로세스를 만들거나 수정합니다. 사용 사례는 여러 SP 고객이 단일 인스턴스에서 애플리케이션을 올바르게 사용하는 것을 반영합니다.
- 인스턴스 소유자는 특정 애플리케이션에 필요한 대로 테넌트별 최소 실행 가능한 제품(MVP) 비즈니스 논리 및 데이터 매개변수를 구성해야 합니다.
샘플 사용 사례: 관리자가 한 테넌트에 대해서는 기록이 닫히지만 다른 테넌트에 대해서는 기록이 닫히지 않는 경우 설명이 필요하도록 설정할 수 있어야 합니다.
지원 수준에 대한 자세한 내용은 도메인 분리를 위한 애플리케이션 지원을 참조하십시오.
개요
애플리케이션에서 서비스 제공자(SP)는 도메인 분리를 보안 인시던트 응답 통해 서비스를 제공하는 고객 기반 전체에서 SOC(보안 운영 센터) 및 보안 인시던트 응답(SIR) 절차를 표준화하여 운영 비용을 절감하고 서비스 품질을 높일 수 있습니다. 워크플로우, 대시보드, 보고서 등을 위한 별도의 고객 작업 공간을 통해 고객 데이터가 분리되어 다른 클라이언트에게 노출되지 않도록 합니다.
| 릴리스 | 지원 수준 | 메모 |
|---|---|---|
| 제네바, 헬싱키 | 지원 안 함 | 데이터 수준 도메인 분리 시작 |
| Istanbul | 데이터만 | |
| Jakarta | 수준 2(데이터, 요청자, 이행자) | 새로운 기능: 위협 인텔리전스 통합을 포함한 통합의 단일 인스턴스에서 수준 2 도메인 분리를 통한 외부 공급업체 통합 지원 |
| Kingston | 수준 2(데이터, 요청자, 이행자) | 새로운 기능: SIR용 사이팅 검색 통합은 여러 인스턴스에서 활성화되지만 모든 인스턴스는 여전히 단일 도메인에 있습니다. 예: Splunk 통합의 두 인스턴스(SplunkCLOUD 및 SplunkCORP)가 구성된 경우 둘 다 구현이 원래 구성된 단일 도메인에서 인시던트 응답 활동에 계속 활용됩니다. |
| London | 수준 2(데이터, 요청자, 이행자) | 새로운 기능: 모든 통합이 여러 도메인에 걸쳐 있음 |
| Madrid | 수준 2(데이터, 요청자, 이행자) | 이제 모든 통합이 여러 도메인에 걸쳐 상주할 수 있습니다. 위의 예에서 SplunkCloud는 domain1 및 SplunkCORP domain2일 수 있습니다. |
| New York | 수준 2(데이터, 요청자, 이행자) | 모든 통합은 여러 도메인에 걸쳐 있습니다. |
| Orlando | 표준 | 모든 통합은 여러 도메인에 걸쳐 있습니다. |
| 파리 | 표준 | 모든 통합은 여러 도메인에 걸쳐 있습니다. |
애플리케이션의 도메인 분리는 보안 인시던트 응답 다음 제품 기능을 포함합니다.
- 보안 경보는 ID/자격 증명/범위가 인시던트를 생성하고 보안 인시던트로 등록된 사용자의 해당 도메인으로 전달됩니다.
- 경보는 상태 저장 속성 또는 측정 가능한 이벤트를 나타내는 "옵저버블"을 생성합니다. 보안 인시던트 도메인의 보안 워크플로우는 응답을 오케스트레이션하는 데 사용됩니다.
- 통합은 응답 자동화를 위한 보안 인시던트의 도메인에서 구성됩니다.
- 기능은 응답 자동화를 위한 보안 인시던트의 도메인에 구성됩니다. 이러한 기능(Kingston 릴리스 기준)은 다음과 같습니다.
- 위협 조회
- 옵저버블 보강
- 구성 항목 보강
- 실행 중인 프로세스 가져오기
- 네트워크 통계 가져오기
- 요청 차단
- 호스트 격리
- 검색 찾기
- 이메일 검색 및 삭제
- 감시 목록에 게시
- 응답 자동화(예: 위협 조회 또는 사이팅 검색)의 결과는 보안 인시던트의 도메인에 저장됩니다.
- 다른 보안 인시던트는 공유 옵저버블 집합을 기반으로 보안 인시던트의 동일한 도메인에서 상호 참조됩니다.
- 다른 사용자는 보안 인시던트의 도메인에서 상호 참조됩니다.
- 구성 항목은 보안 인시던트와 동일한 도메인에서 상호 참조됩니다.
- 수동 응답 작업은 보안 인시던트의 도메인에 추가됩니다.
- 지식베이스 문서와 실행 지침서는 보안 인시던트의 도메인에서 참조됩니다.
- 도메인의 인시던트와 관련된 보안 인시던트 응답 메트릭이 대시보드와 보고에 표시됩니다.
주:
앞의 경우 NOW Platform에서 분리된 도메인의 가시성에 대한 중요한 원칙이 적용됩니다. 항상 그렇듯이 상위 도메인의 인시던트는 하위 도메인의 아티팩트를 참조할 수 있지만 그 반대의 경우는 불가능합니다.
Security Incident Response에서 도메인 분리 작동 방식
애플리케이션은 보안 인시던트 응답 보안 인시던트의 수명주기를 엔드투엔드로 관리합니다. 다음 사용 사례는 도메인 분리를 인식합니다.
- 이벤트 및 경보를 수집 하여 고객 SOC의 분석가 또는 MSP가 응답할 수 있는 보안 인시던트를 생성합니다.
- 이메일 파서(플랫폼 기반, 사용자 보고 피싱, 사용자 지정)
- 인시던트 생성 전 중복 제거 이벤트/경보
- 옵저버블 자동 추출
- 외부 공급업체 SIEM 저장소의 애플리케이션
- 인시던트에 관련된 아티팩트 보강(IP, URL, 도메인, 파일 해시):
- 자산 보강(CMDB)
- 사용자(플랫폼)
- 자동화: 옵저버블 보강(예: WhoIs)
- 아티팩트 및 아티팩트의 평판 또는 알려진 위협과의 연관성을 활용하여 인시던트 조사
- 오케스트레이션: Playbook 및 지식베이스 문서
- 자동화: 위협 조회(예: VirusTotal), 사이팅 검색(예: Splunk), 실행 중인 프로세스 가져오기(예: Carbon Black)
- 수행된 조사를 기반으로 인시던트에 관련된 위협 관련 아티팩트 근절
- 오케스트레이션: Playbook 및 지식베이스 문서
- 자동화: 이메일 검색 및 삭제(예: Microsoft Exchange), IP 차단(예: Palo Alto 방화벽)
- 인시던트 응답 운영의 효율성 측정
- Performance Analytics 대시보드: 생산성 및 인시던트 추세
- 작업 메모에서 인시던트 조사 단계 재구성
- 사후 인시던트 검토
도메인 분리 설정
의 보안 인시던트 응답 도메인 분리를 설정하는 데는 추가 단계가 필요하지 않습니다. 모든 보안 인시던트 응답 테이블은 인스턴스가 도메인으로 분리된 후 도메인 열을 획득합니다.
도메인 분리 데이터
데이터는 도메인으로 구분될 수 있으며 이는 다음을 의미합니다.
- 한 도메인의 보안 인시던트를 다른 도메인에서 볼 수 없습니다.
- 보안 인시던트에서 추출된 옵저버블은 동일한 도메인에 배치되며 다른 도메인에서 볼 수 없습니다.
- Kingston 릴리스까지 구성된 타사 통합이 전역 도메인에 존재하며 인스턴스의 다른 모든 도메인에서 액세스할 수 있습니다.
- Madrid 릴리스에서는 도메인별로 외부 공급업체 통합을 구성하고 활성화할 수 있습니다. 즉, 한 도메인에서 활성화되고 구성된 통합을 다른 도메인에서 활용할 수 없습니다.
- 외부 공급업체 통합(위협 조사, 억제 또는 근절을 위해)을 사용하여 옵저버블에서 실행되는 자동화는 결과를 보안 인시던트의 도메인에 배치하고 다른 도메인에서 결과를 볼 수 없습니다.
- 한 도메인에서 생성된 오케스트레이션 워크플로우는 다른 도메인에서 볼 수 없습니다.
- 호출되는 기능(이전 기능 기능 목록에 설명되어 있음)은 호출되는 기능의 도메인별 구현을 통해 도메인 간에 일반 상태를 유지합니다. 예를 들어, IP에 대한 사이팅 검색은 한 도메인에서 Splunk 구현을 호출하고 다른 도메인에서 QRadar 구현을 호출할 수 있습니다.
구성
제품 구성의 모든 측면은 도메인 분리 환경에 포함되어 있습니다. 개별 도메인에 맞게 설정을 조정할 수 있습니다.
주:
아래 #2-5의 비즈니스 논리와 프로세스는 테넌트 도메인 내에서 관리할 수 있습니다.
다음 작업을 구성해야 합니다.
- 시스템 관리
- 사용자 및 사용자 그룹에 역할을 할당합니다. 보안 인시던트 응답과 함께 설치되는 사용자 역할
- 하나 보안 인시던트 응답이상의 외부 공급업체 통합 플러그인을 설치하여 작업합니다. 보안 인시던트 응답 통합
- 보안 인시던트 응답 관리
- 역할 추가 또는 검토: 보안 인시던트 응답와 함께 설치되는 구성요소
- 그룹 및 사용자를 구성합니다. 보안 인시던트 그룹 생성
- 인시던트 에스컬레이션 설정: 보안 인시던트 에스컬레이션
- 보안 인시던트 위험 점수 계산기 설정: 보안 인시던트 계산기 이해
- 서비스 수준 계약을 설정합니다. SLA 생성 보안 인시던트 응답
- 보안 인시던트 프로세스 정의를 설정합니다. Security Incident Response 프로세스 정의 이해
- 사후 인시던트 검토 프로세스를 설정합니다. 사후 인시던트 활동 관리
- 보안 인시던트 이메일 설정
- 이메일 구문 분석 수신함 설정: 보안 운영 이메일 구문 분석
- 경보 수집을 위한 이메일 파서 설정: 보안 운영에서 이메일 파서 생성
- 사용자가 보고한 피싱에 대한 이메일 일치 규칙을 설정합니다. 사용자가 보고한 피싱 공격을 확인하는 규칙 생성
- 이메일 인바운드 작업 설정:인바운드 이메일 작업
- 보안 인시던트 Playbook 설정
- Runbook 문서를 검토하고 설정합니다. 보안 인시던트 응답 Runbook 생성
- 보안 인시던트 워크플로우 설정: 보안 운영 공통 기능
- 역량 구성
- 차단 요청: 보안 운영 통합 - 차단 요청 기능
- 이메일 검색 및 삭제: 보안 운영 통합 - 이메일 검색 및 삭제 기능
- 구성 항목 보강: 보안 운영 통합 - CI 기능 보강
- 옵저버블 보강: 보안 운영 통합 - 옵저버블 보강 기능
- 네트워크 통계 가져오기: 보안 운영 통합 - 네트워크 통계 기능 가져오기
- 실행 중인 프로세스 가져오기: 보안 운영 통합 - 실행 중인 프로세스 가져오기 기능
- 호스트 격리: 보안 운영 통합 - 호스트 격리 기능
- 주요 업데이트 공유자에 게시: 보안 운영 통합 - 감시 목록에 게시 기능
- 사이팅 검색: 보안 운영 통합 - 사이팅 검색 역량
- 위협 조회: 보안 운영 통합 - 위협 조회 기능
테넌트 도메인이 자체 애플리케이션 데이터를 관리하는 방법
- 테넌트 도메인 소유자는 보안 인시던트를 수집하기 위한 고유한 이메일 구문 분석 규칙을 생성합니다.
- 테넌트 도메인 소유자는 도메인 내에서만 사용할 특정 통합을 구성할 수 있습니다.
- 테넌트 도메인 소유자는 고유한 인시던트 응답 워크플로우를 만들 수 있습니다.
- 테넌트 도메인 소유자는 인시던트 응답 워크플로우와 연결할 고유한 인시던트 범주, 인시던트 응답 지식베이스 문서 및 Runbook을 생성할 수 있습니다.
- 테넌트 도메인 사용자가 자체 보안 인시던트를 생성하고 종결합니다.
인스턴스 소유자가 도메인을 분리할 수 있는 비즈니스 논리 및 프로세스
- 보안 인시던트 응답 사용자 및 그룹
- 보안 인시던트 응답 통합(Madrid 릴리스부터 시작)
- 인시던트 생성을 위한 이메일 구문 분석 규칙
- 여러 이벤트 또는 경보를 보안 인시던트로 통합하는 비즈니스 규칙
- 인시던트 응답 오케스트레이션을 위한 워크플로우
- 보안 인시던트 위험 점수 계산기
- 보안 인시던트 에스컬레이션 경로
- 보안 인시던트 SLA
- 보안 인시던트 프로세스 정의
- 보안 인시던트 사후 인시던트 검토 프로세스