Séparation de domaine et Renseignements sur les menaces

Rversion finale: Zurich

Mis à jour 31 juil. 2025

7 minutes de lecture

L’application Séparation de domaine est prise en charge dans le module disponible dans le Renseignements sur les menaces cadre de Réponse aux incidents de sécurité. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.

Niveau de prise en charge : basique

Inclut la prise en charge de niveau Basique.
Logique métier : le fournisseur de service (SP) crée ou modifie des processus par client. Les cas d'utilisation reflètent l'utilisation appropriée de l'application par plusieurs clients SP dans une seule instance.
Le propriétaire de l'instance doit configurer la logique métier et les paramètres de données du produit minimum viable (MVP) par locataire comme prévu pour l'application spécifique.

Exemple de cas d'utilisation : un administrateur doit être en mesure de donner les commentaires appropriés lorsqu'un enregistrement se ferme pour un locataire, mais pas pour un autre.

Pour en savoir plus sur les niveaux de prise en charge, consultez la rubrique Prise en charge de Séparation de domaine par les applications.

Vue d'ensemble

Dans le module Renseignements sur les menaces (dans le cadre de l’application Réponse aux incidents de sécurité), Séparation de domaine permet aux fournisseurs de services de créer et de gérer le référentiel de renseignements sur les menaces comme suit :

Profils de sources de menace et TAXII (Trusted Automated Exchange of Indicator Information)
Observables
Indicateurs de compromis
Modes/méthodes d’attaque des menaces et gestion des cas sur l’ensemble de la base de clients qu’ils servent avec des coûts opérationnels réduits et une meilleure qualité de service

Le fait de disposer d’espaces de travail client distincts pour les workflows, les tableaux de bord, les rapports, etc., garantit que les données client sont séparées et ne sont jamais exposées à d’autres clients.

Prise en charge de Domain Separation dans par Renseignements sur les menaces version

Séparation de domaine pour le module Threat Intelligence (dans le cadre de l’application Réponse aux incidents de sécurité ) couvre les fonctionnalités de produit suivantes :

Les observables d’incident de sécurité sont dirigés vers le domaine approprié de l’utilisateur dont l’ID/les informations d’identification ou le champ d’application génère l’incident. Les observables extraits de l’incident sont stockés dans le domaine de l’incident de sécurité.
Configuration de profils de service TAXII pour télécharger une ou plusieurs collections TAXII qui offrent des flux d’informations sur les cybermenaces. La configuration est stockée dans le domaine sous lequel le profil est configuré.
Configuration du téléchargement des flux de menaces dans le référentiel IOC dans le domaine sous lequel la configuration est effectuée.
Création d’un ou de plusieurs modes/méthodes d’attaque dans le domaine de la source de renseignements sur les menaces qui fournit automatiquement les informations ou du domaine dans lequel un nouveau/une nouvelle méthode/mode d’attaque est ajouté manuellement par l’utilisateur
Création de tickets pour une enquête à long terme sur les incidents, les observables, les CI, les utilisateurs et les indicateurs de compromis (IOC) associés au ticket. Le ticket est stocké dans le domaine créé par l’utilisateur.

Remarque :

Dans tous les cas ci-dessus, les principes généraux de la visibilité dans des domaines séparés dans la NOW Platform s’appliquent. Comme toujours, un incident dans le domaine parent peut faire référence à des artefacts dans le domaine enfant, mais pas l’inverse.

Comment fonctionne Séparation de domaine dans Renseignements sur les menaces (dans le cadre de Réponse aux incidents de sécurité)

Threat Intelligence fait partie de Security Incident Response dans les niveaux Professional et Enterprise, mais pas avec le niveau Standard. Par conséquent, un plugin séparé est nécessaire. Le module Threat Intelligence (en tant que partie intégrante de l’application Réponse aux incidents de sécurité ) crée et gère les informations de Threat Intelligence associées aux incidents de sécurité dans une organisation. Les cas d’utilisation suivants sont sensibles à la séparation de domaine :

Création d’observables d’incident de sécurité au moment de la création de l’incident
- À partir d’analyseurs d’e-mails (basés sur la plateforme, hameçonnage signalé par un utilisateur, personnalisés)
- À partir d’applications dans des magasins SIEM (Security Information and Event Management) tiers
- Saisie manuellement par l’analyste SOC
Collecte d’observables à partir de sources de flux de menaces ; sources de veille sur les menaces à partir de collectes TAXII
Gérer les observables d’incident de sécurité
- Associer des observables à des indicateurs connexes
- Associer des observables à des incidents de sécurité
- Associer des observables à des observables enfants
- Associer l’observable à la source du flux de menaces
- Ajouter des annotations de sécurité aux observables
Gérer les indicateurs de compromis
- Associer des indicateurs à des observables associés
- Associer des indicateurs au mode/méthode d’attaque
- Associer des indicateurs à des types d’indicateurs
- Associer des indicateurs à la source de flux de menaces
- Ajouter des annotations de sécurité aux indicateurs
Gérer les tickets
- Créer un ticket (manuellement ou à partir d’un incident)
- Modifiez un nouveau ticket pour ajouter des détails (choisir le type et la gravité du ticket, ajouter des incidents, des observables, des éléments de configuration, des utilisateurs, des indicateurs)
- Supprimer un ticket

Configuration de Domain Separation

La configuration de Séparation de domaine pour Threat Intelligence ne nécessite aucune étape supplémentaire. Toutes les tables Threat Intelligence acquièrent la colonne Domaine une fois que l’instance a été séparée par domaine.

Données séparées par domaine

Les données peuvent être séparées par domaine, ce qui signifie :

Les observables d’incident de sécurité dans un domaine ne peuvent pas être visualisés à partir du périmètre d’autres domaines.
Les indicateurs de compromission dans un domaine ne peuvent pas être visualisés à partir du périmètre d’autres domaines.
Les modes/méthodes d’attaque associés à un domaine ne peuvent pas être visualisés à partir du périmètre d’autres domaines.
Les profils de service TAXII associés à un domaine ne peuvent pas être affichés à partir du périmètre d’autres domaines.
Les sources de renseignements sur les menaces associées à un domaine ne peuvent pas être consultées à partir du périmètre d’autres domaines.
Les tickets associés à un domaine ne peuvent pas être affichés à partir du périmètre d’autres domaines.

Les propriétés Threat Intelligence sont définies au niveau global et ne sont donc pas séparées par domaine. Les paramètres incluent :

Nom du domaine pour récupérer des informations supplémentaires pour les adresses IP/URL
Clé API à utiliser pour la récupération
Recherche des tables IoC locales avant envoi au scanner distant
Nombre de jours pendant lesquels les observables locaux sont pris en compte
Marquer un mode/une méthode d’attaque comme inactif lorsqu’il n’est pas reçu de sources de renseignements sur les menaces
Marquage d’un indicateur comme inactif lorsqu’il n’est reçu d’aucune source pendant un nombre de jours spécifié

Configuration

Tous les aspects de la configuration de la fonctionnalité Threat Intelligence sont autonomes dans un environnement séparé par domaine.

Les tâches suivantes peuvent être configurées par domaine :

Création de profils de service TAXII
- Choisir une configuration de service de découverte
- Choisir une configuration de service de collecte : affecter des rôles aux utilisateurs et aux groupes d’utilisateurs
Création de sources Threat Intelligence
- Configurer le service REST qui fournit les informations de Threat Intelligence
- Planifier le téléchargement des informations de Renseignements sur les menaces
- Choisir les informations sur les détails de la menace à affecter à la source
Création de modes/méthodes d’attaque (manuel)
- Source, type de programme malveillant, mécanisme d’attaque, type d’acteur de menace, description, manipulation, effet souhaité, premier observé, dernier observé
- Indicateurs connexes, mode/méthode d’attaque enfant, incidents de sécurité associés
  Remarque :
  Les modes/méthodes d’attaque sont également créés automatiquement à partir des sources de flux de menaces.
Définition de listes par défaut pour les catégories d’informations sur les menaces suivantes :
- Mécanismes d'attaque
- Méthodes de Découverte
- Flux
- Types d'indicateurs
- Effets souhaités
- Notifications
- Types d'observables
- Définitions de limite d’évaluation
- Types d'acteurs de menace
- Motivations de l’attaque
- Types d’infrastructure
- Options de logiciel malveillant
- Types de malware
- Types de rapports
- Rôles d’acteur de menace
- Types d’outil

Comment les domaines des locataires gèrent leurs propres données d’application

Les propriétaires de domaines locataires peuvent créer leurs propres profils de service TAXII.
Les propriétaires de domaines du locataire peuvent créer leurs propres sources de renseignements sur les menaces.
Les propriétaires de domaines peuvent créer leurs propres modes/méthodes d’attaque.
Les propriétaires de domaines du locataire peuvent créer leurs propres listes par défaut pour les catégories d’informations sur les menaces.

Remarque :

La logique et les processus métier permettent de séparer par domaine les calendriers de téléchargement des sources de Renseignements sur les menaces par propriétaire d’instance.