Domain Separation und Threat Intelligence

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Domänentrennung wird in unterstützt Threat IntelligenceModul, das als Teil der Reaktion auf Security Incidents verfügbar ist. Mit der Domain Separation können Sie Daten, Prozesse und Verwaltungsaufgaben in logische Gruppierungen, sogenannte Domänen, aufteilen. Sie können verschiedene Aspekte dieser Trennung steuern, einschließlich der Benutzer, die Daten sehen und darauf zugreifen können.

    Support-Stufe: Basis

    • Umfasst die Basis-Support-Stufe.
    • Geschäftslogik: Der Service Provider (SP) erstellt oder ändert Prozesse für einzelne Kunden. Die Anwendungsfälle spiegeln die ordnungsgemäße Verwendung der Anwendung durch mehrere SP-Kunden in einer einzigen Instanz wider.
    • Der Besitzer der Instanz muss die MVP-Geschäftslogik (Minimum des lebensfähigen Produkts) und die Datenparameter pro Mandant wie erwartet für die spezifische Anwendung konfigurieren.

    Beispiel-Anwendungsfall: Ein Administrator muss in der Lage sein, Kommentare beim Schließen eines Datensatzes für einen Mandanten obligatorisch zu machen, für andere hingegen nicht.

    Weitere Informationen zu den Supportstufen finden Sie unter Anwendungssupport für Domänentrennung.

    Übersicht

    Im Modul „Threat Intelligence“ (als Teil der Anwendung „Security Incident Response“) ermöglicht die Domänentrennung Service Providern (SPS) die Erstellung und Verwaltung des Threat Intelligence-Repositorys auf folgende Weise:

    • Bedrohungsquellen und vertrauenswürdige Profile für den automatisierten Austausch von Indikatorinformationen (TAXII)
    • Erkennbare Elemente
    • Kompromittierungsindikatoren
    • Bedrohungsangriffsmodi/-Methoden und Fallmanagement im gesamten Kundenstamm, für die sie zuständig sind, mit niedrigeren Betriebskosten und einer höheren Servicequalität

    Durch separate Kundenarbeitsbereiche für Workflows, Dashboards, Berichte usw. wird sichergestellt, dass Kundendaten getrennt und nie anderen Clients zugänglich gemacht werden.

    Unterstützung für Domänentrennung in Threat IntelligenceNach Versionsrelease

    Domänentrennung für das Threat Intelligence-Modul (als Teil von Security Incident ResponseAnwendung) deckt die folgende Produktfunktionalität ab:
    • Erkennbare Security Incident-Elemente werden an die entsprechende Domäne des Anwenders weitergeleitet, dessen ID/Anmeldeinformationen/Umfang den Incident generiert. Die aus dem Incident extrahierten erkennbaren Elemente werden in der Domäne des Security Incidents gespeichert.
    • Einrichten von TAXII-Serviceprofilen zum Herunterladen einer oder mehrerer TAXII-Sammlungen, die Informationen zu Cyberbedrohungen bieten. Die Konfiguration wird in der Domäne gespeichert, unter der das Profil eingerichtet wird.
    • Das Einrichten des Downloads von Bedrohungsfeeds in das IOC-Repository in der Domäne, unter der die Konfiguration ausgeführt wird.
    • Erstellung von Angriffsmodi/-Methoden in der Domäne der Threat Intelligence-Quelle, die die Informationen automatisch bereitstellt, oder der Domäne, unter der ein neuer Angriffsmodus/-Methode vom Anwender manuell hinzugefügt wird
    • Erstellung von Fällen für die langfristige Untersuchung von Incidents, erkennbaren Elementen, CIs, Anwendern und Indikatoren der Kompromittierung (Indicators of Commitment, IOC), die dem Fall zugeordnet sind. Der Fall wird in der vom Anwender erstellten Domäne gespeichert.
    Hinweis:
    In allen oben genannten Fällen gelten die übergreifenden Prinzipien der Sichtbarkeit in getrennten Domänen in der NOW Platform. Wie immer kann ein Incident in der übergeordneten Domäne auf Artefakte in der untergeordneten Domäne verweisen, aber nicht umgekehrt.

    Funktionsweise der Domänentrennung Threat Intelligence(Als Teil von Security Incident Response)

    Threat Intelligence ist Teil der Reaktion auf Security Incidents auf der Berufs- und Unternehmensebene, jedoch nicht auf der Standardstufe. Daher ist ein separates Plugin erforderlich. Das Threat Intelligence-Modul (als Teil von Security Incident ResponseAnwendung) erstellt und verwaltet die Threat Intelligence-Informationen, die Security Incidents in einer Organisation zugeordnet sind. Die folgenden Anwendungsfälle sind auf Domänentrennung ausgerichtet:

    • Erstellung erkennbarer Security Incident-Elemente zum Zeitpunkt der Incident-Erstellung
      • Aus E-Mail-Parsern (plattformbasiert, von Anwendern gemeldetes Phishing, anwenderdefiniert)
      • Aus Anwendungen in SIEM-Speichern (Security Information and Event Management) von Drittparteien
      • Manuell vom SOC-Analysten eingegeben
    • Sammlung erkennbarer Elemente aus Bedrohungs-Feed-Quellen: Threat Intelligence-Quellen aus TAXII-Sammlungen
    • Verwalten Sie erkennbare Security Incident-Elemente
      • Ordnen Sie erkennbare Elemente zugehörigen Indikatoren zu
      • Ordnen Sie erkennbare Elemente Security Incidents zu
      • Ordnen Sie erkennbare Elemente untergeordneten erkennbaren Elementen zu
      • Ordnen Sie erkennbares Element der Bedrohungs-Feed-Quelle zu
      • Fügen Sie erkennbaren Elementen Sicherheitsanmerkungen hinzu
    • Verwalten Sie Kompromittierungsindikatoren
      • Ordnen Sie Indikatoren zugehörigen erkennbaren Elementen zu
      • Ordnen Sie Indikatoren dem Angriffsmodus/-Methode zu
      • Ordnen Sie Indikatoren Indikatortypen zu
      • Ordnen Sie Indikatoren der Bedrohungs-Feed-Quelle zu
      • Fügen Sie Sicherheitsanmerkungen zu Indikatoren hinzu
    • Verwalten Sie Fälle
      • Fall erstellen (manuell oder aus einem Incident)
      • Bearbeiten Sie einen neuen Fall, um Details hinzuzufügen (Falltyp und Schweregrad auswählen, Incidents, erkennbare Elemente, Konfigurationselemente, Anwender hinzufügen, Indikatoren)
      • Löschen Sie einen Fall

    Setup der Domänentrennung

    Das Einrichten der Domänentrennung für Threat Intelligence erfordert keine zusätzlichen Schritte. Alle Threat Intelligence-Tabellen erhalten die Spalte „Domäne“, nachdem die Instanz von Domänen getrennt wurde.

    Domänengetrennte Daten

    Daten können domänengetrennt werden, d. h.:

    • Erkennbare Security Incident-Elemente in einer Domäne können nicht im Umfang anderer Domänen angezeigt werden.
    • Kompromittierte Indikatoren in einer Domäne können nicht im Umfang anderer Domänen angezeigt werden.
    • Angriffsmodi/-Methoden, die einer Domäne zugeordnet sind, können nicht im Umfang anderer Domänen angezeigt werden.
    • TAXII-Serviceprofile, die einer Domäne zugeordnet sind, können nicht im Umfang anderer Domänen angezeigt werden.
    • Threat Intelligence-Quellen, die einer Domäne zugeordnet sind, können nicht im Umfang anderer Domänen angezeigt werden.
    • Fälle, die einer Domäne zugeordnet sind, können nicht im Umfang anderer Domänen angezeigt werden.
    Threat Intelligence-Eigenschaften werden auf globaler Ebene festgelegt und sind daher nicht domänengetrennt. Die Einstellungen umfassen:
    • Der Domänenname zum Abrufen zusätzlicher Informationen für IP-Adressen/URLs
    • Der API-Schlüssel, der für den Abruf verwendet werden soll
    • Suche nach lokalen IOC-Tabellen, bevor sie an den Remote-Scanner gesendet werden
    • Anzahl der Tage, an denen lokale erkennbare Elemente berücksichtigt werden
    • Markieren eines Angriffsmodus/einer Angriffsmethode als inaktiv, wenn sie nicht von bedrohungsinformationsquellen empfangen wird
    • Markieren eines Indikators als inaktiv, wenn er für eine angegebene Anzahl von Tagen von keiner Quelle empfangen wurde

    Konfiguration

    Alle Aspekte der Konfiguration der Threat Intelligence-Funktionalität sind in einer domänengetrennten Umgebung enthalten.

    Die folgenden Aufgaben können pro Domäne konfiguriert werden:

    1. Erstellung von TAXII-Serviceprofilen
      • Wählen Sie eine Discovery-Servicekonfiguration aus
      • Wählen Sie eine Sammlungsservicekonfiguration aus: Weisen Sie Anwendern und Anwendergruppen Rollen zu
    2. Erstellung von Threat Intelligence-Quellen
      • Konfigurieren Sie den REST-Service, der die Bedrohungsinformationen bereitstellt
      • Planen Sie den Download von Informationen zu bedrohungsinformationen
      • Wählen Sie Bedrohungsdetails aus, die der Quelle zugewiesen werden sollen
    3. Erstellung von Angriffsmodi/-Methoden (manuell)
      • Quelle, Malware-Typ, Angriffsmechanismus, Bedrohungsakteurtyp, Beschreibung, Verarbeitung, beabsichtigte Wirkung, zuerst gesehen, zuletzt gesehen
      • Zugehörige Indikatoren, untergeordneter Angriffsmodus/-Methode, zugehörige Security Incidents
        Hinweis:
        Angriffsmodi/-Methoden werden auch aus den Bedrohungs-Feed-Quellen automatisch erstellt.
    4. Festlegen von Standardlisten für die folgenden Bedrohungsinformationskategorien:
      • Angriffsmechanismen
      • Discovery-Methoden
      • Feeds
      • Indikatortypen
      • Beabsichtigte Wirkungen
      • Benachrichtigungen
      • Typen der erkennbaren Elemente
      • Quotengrenzdefinitionen
      • Bedrohungsakteurtypen
      • Angriffsmotivationen
      • Infrastrukturtypen
      • Malware-Fähigkeiten
      • Schadsoftwaretypen
      • Berichtstypen
      • Bedrohungsakteurrollen
      • Tooltypen

    Wie Mandantendomänen ihre eigenen Anwendungsdaten verwalten

    • Mandantendomänenbesitzer können ihre eigenen TAXII-Serviceprofile erstellen.
    • Mandantendomänenbesitzer können eigene Threat Intelligence-Quellen erstellen.
    • Mandantendomänenbesitzer können eigene Angriffsmodi/-Methoden erstellen.
    • Mandantendomänenbesitzer können eigene Standardlisten für Bedrohungsinformationskategorien erstellen.
    Hinweis:
    Geschäftslogik und -Prozesse ermöglichen es, dass Downloadzeitpläne für Threat Intelligence-Quellen domänengetrennt nach Instanzbesitzer sind.