Séparation de domaine et Renseignements sur les menaces

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 6 minutes de lecture

    • Domain Separation est prise en charge dans le module disponible dans le Renseignements sur les menaces cadre de Security Incident Response. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.

    Niveau de prise en charge : basique

    • Inclut le support de niveau basique.
    • Logique métier : le fournisseur de service (SP) crée ou modifie des processus par client. Les cas d'utilisation reflètent l'utilisation appropriée de l'application par plusieurs clients SP dans une seule instance.
    • Le propriétaire de l'instance doit configurer la logique métier et les paramètres de données du produit minimum viable (MVP) par locataire comme prévu pour l'application spécifique.

    Exemple de cas d'utilisation : un administrateur doit être en mesure de donner les commentaires appropriés lorsqu'un enregistrement se ferme pour un locataire, mais pas pour un autre.

    Pour en savoir plus sur les niveaux de prise en charge, consultez la rubrique Prise en charge de Séparation de domaine par les applications.

    Vue d'ensemble

    Dans le module Threat Intelligence (dans le cadre de l’application Security Incident Response), Domain Separation permet aux fournisseurs de services de créer et de gérer le référentiel de Threat Intelligence comme suit :

    • Sources de menace et profils TAXII (Trusted Automated Exchange of Indicator Information)
    • Observables
    • Indicateurs de compromis
    • Modes / méthodes d’attaque par menace et gestion des cas dans l’ensemble de la clientèle qu’ils servent avec des coûts opérationnels réduits et une meilleure qualité de service

    Disposer d’espaces de travail client distincts pour les workflows, les tableaux de bord, les rapports, etc., garantit que les données client sont séparées et ne sont jamais exposées à d’autres clients.

    Prise en charge de Domain Separation dans Renseignements sur les menaces chaque version

    Domain Separation pour le module Threat Intelligence (dans le cadre de l’application Réponse aux incidents de sécurité ) couvre les fonctionnalités du produit suivantes :
    • Les observables d’incident de sécurité sont dirigés vers le domaine approprié de l’utilisateur dont l’ID/les informations d’identification/le périmètre génère l’incident. Les observables extraits de l’incident sont stockés dans le domaine de l’incident de sécurité.
    • Mise en place de profils de service TAXII pour télécharger une ou plusieurs collections TAXII qui offrent des flux d’informations sur les cybermenaces. La configuration est stockée dans le domaine sous lequel le profil est configuré.
    • Configurer le téléchargement des flux de menaces dans le référentiel IOC dans le domaine sous lequel la configuration est effectuée.
    • Création de modes/méthodes d’attaque dans le domaine de la source de renseignements sur les menaces qui fournit automatiquement les informations ou dans le domaine sous lequel un nouveau mode/méthode d’attaque est ajouté manuellement par l’utilisateur
    • Création de tickets pour une enquête à long terme sur les incidents, les observables, les CI, les utilisateurs et les indicateurs de compromission (IOC) associés au ticket. Le ticket est stocké dans le domaine créé par l’utilisateur.
    Remarque :
    Dans tous les cas ci-dessus, les principes généraux de visibilité dans des domaines séparés de la NOW Platform s’appliquent. Comme toujours, un incident dans le domaine parent peut référencer des artefacts dans le domaine enfant, mais pas l’inverse.

    Comment fonctionne Domain separation dans Renseignements sur les menaces (dans le cadre de Réponse aux incidents de sécurité)

    Threat Intelligence fait partie de Security Incident Response aux niveaux Professional et Enterprise, mais pas avec le niveau standard. Par conséquent, un plugin séparé est nécessaire. Le module Threat Intelligence (dans le cadre de l’application Réponse aux incidents de sécurité ) crée et gère les informations de Threat Intelligence associées aux incidents de sécurité dans une organisation. Les cas d’utilisation suivants prennent en charge Domain Separation :

    • Création des observables d’incident de sécurité au moment de la création de l’incident
      • À partir de l’analyseur d’e-mail (basé sur la plateforme, hameçonnage signalé par l’utilisateur, personnalisé)
      • À partir d’applications dans des magasins SIEM (Security Information and Event Management) tiers
      • Saisie manuelle par l’analyste SOC
    • Collecte d’observables à partir de sources de flux de menaces - Sources de renseignements sur les menaces à partir de collections TAXII
    • Gérer les observables d’incident de sécurité
      • Associer des observables à des indicateurs connexes
      • Associer des observables à des incidents de sécurité
      • Associer des observables à des observables enfants
      • Associer l’observable à la source du flux de menaces
      • Ajouter des annotations de sécurité aux observables
    • Gérer les indicateurs de compromission
      • Associer les indicateurs aux observables connexes
      • Associer des indicateurs au mode/méthode d’attaque
      • Associer des indicateurs à des types d’indicateurs
      • Associer des indicateurs à une source de flux de menaces
      • Ajouter des annotations de sécurité aux indicateurs
    • Gérer les tickets
      • Créer un ticket (manuellement ou à partir d’un incident)
      • Modifier un nouveau ticket pour ajouter des détails (choisir le type et la gravité du ticket, ajouter des incidents, des observables, des éléments de configuration, des utilisateurs, des indicateurs)
      • Supprimer un ticket

    Configuration de Domain Separation

    La configuration de Domain Separation pour Threat Intelligence ne nécessite aucune étape supplémentaire. Toutes les tables Threat Intelligence acquièrent la colonne Domaine une fois que l’instance est séparée par domaine.

    Données séparées par domaine

    Les données peuvent être séparées par domaine, ce qui signifie :

    • Les observables d’incident de sécurité dans un domaine ne peuvent pas être visualisés depuis le champ d’application d’autres domaines.
    • Les indicateurs de compromission dans un domaine ne peuvent pas être visualisés à partir du périmètre d’autres domaines.
    • Les modes/méthodes d’attaque associés à un domaine ne peuvent pas être affichés depuis le champ d’application d’autres domaines.
    • Les profils de service TAXII associés à un domaine ne peuvent pas être consultés à partir du champ d’application d’autres domaines.
    • Les sources de renseignements sur les menaces associées à un domaine ne peuvent pas être consultées depuis le champ d’application d’autres domaines.
    • les tickets associés à un domaine ne peuvent pas être consultés depuis le champ d’application d’autres domaines.
    Les propriétés Threat Intelligence sont définies au niveau global et ne sont donc pas séparées par domaine. Les paramètres incluent :
    • Nom de domaine pour récupérer des informations supplémentaires pour les adresses IP/URL
    • Clé API à utiliser pour la récupération
    • Recherche des tables IoC locales avant envoi au scanner distant
    • Nombre de jours pendant lesquels les observables locaux sont pris en compte
    • Marquer un mode/une méthode d’attaque comme inactif lorsqu’il n’est pas reçu de sources de renseignements sur les menaces
    • Marquage d’un indicateur comme inactif lorsqu’il n’est reçu d’aucune source pendant un nombre de jours spécifié

    Configuration

    Tous les aspects de la configuration de la fonctionnalité Threat Intelligence sont autonomes dans un environnement séparé par domaine.

    Les tâches suivantes peuvent être configurées par domaine :

    1. Création de profils de service TAXII
      • Choisir une configuration de service Discovery
      • Choisir une configuration du service de collecte : affecter des rôles à des utilisateurs et à des groupes d’utilisateurs
    2. Création de sources de renseignements sur les menaces
      • Configurer le service REST qui fournit les informations sur la menace
      • Planifier le téléchargement des informations sur les menaces
      • Choisir les informations sur les détails de la menace à affecter à la source
    3. Création de modes/méthodes d’attaque (manuel)
      • Source, type de programme malveillant, mécanisme d’attaque, type d’acteur de menace, description, traitement, effet souhaité, premier observé, dernier observé
      • Indicateurs associés, mode/méthode d’attaque enfant, incidents de sécurité associés
        Remarque :
        Les modes/méthodes d’attaque sont également créés automatiquement à partir des sources du flux de menaces.
    4. Définition des listes par défaut pour les catégories d’informations sur les menaces suivantes :
      • Mécanismes d’attaque
      • Méthodes de Détection
      • Flux
      • Types d’indicateurs
      • Effets souhaités
      • Notifications
      • Types des observables
      • Définitions de limites de taux
      • Types d’acteurs de menace
      • Motivations de l’attaque
      • Types d’infrastructure
      • Options de logiciel malveillant
      • Types de malware
      • Types de rapport
      • Rôles d’acteur de menace
      • Types d’outil

    Comment les domaines de locataire gèrent leurs propres données d’application

    • Les propriétaires de domaines locataires peuvent créer leurs propres profils de service TAXII.
    • Les propriétaires de domaines locataires peuvent créer leurs propres sources de renseignements sur les menaces.
    • Les propriétaires de domaines locataires peuvent créer leurs propres modes/méthodes d’attaque.
    • Les propriétaires de domaines locataires peuvent créer leurs propres listes par défaut pour les catégories d’informations sur les menaces.
    Remarque :
    Les processus et la logique métier permettent de séparer les calendriers de téléchargement des sources de renseignements sur les menaces par domaine par le propriétaire de l’instance.