도메인 분리 및 위협 인텔리전스
도메인 분리는 보안 인시던트 응답의 일부로 사용할 수 있는 모듈에서 위협 인텔리전스 지원됩니다. 도메인 분리를 사용하여 데이터, 프로세스 및 관리 작업을 도메인이라는 논리적 그룹으로 분할할 수 있습니다. 어떤 사용자가 데이터를 보고 액세스할 수 있는지를 포함하여 이러한 분리의 여러 측면을 제어할 수 있습니다.
지원 수준: 기본
- 기본 수준 지원을 포함합니다.
- 비즈니스 논리: 서비스 제공자(SP)가 고객별로 프로세스를 만들거나 수정합니다. 사용 사례는 여러 SP 고객이 단일 인스턴스에서 애플리케이션을 올바르게 사용하는 것을 반영합니다.
- 인스턴스 소유자는 특정 애플리케이션에 필요한 대로 테넌트별 최소 실행 가능한 제품(MVP) 비즈니스 논리 및 데이터 매개변수를 구성해야 합니다.
샘플 사용 사례: 관리자가 한 테넌트에 대해서는 기록이 닫히지만 다른 테넌트에 대해서는 기록이 닫히지 않는 경우 설명이 필요하도록 설정할 수 있어야 합니다.
지원 수준에 대한 자세한 내용은 도메인 분리를 위한 애플리케이션 지원을 참조하십시오.
개요
보안 인시던트 대응 애플리케이션의 일부인 위협 인텔리전스 모듈에서 도메인 분리를 사용하면 서비스 제공자(SP)가 다음과 같은 방법으로 위협 인텔리전스 리포지토리를 생성하고 관리할 수 있습니다.
- 위협 소스 및 신뢰할 수 있는 TAXII(Automated Exchange of Indicator Information) 프로필
- 옵저버블
- 영향을 받게 되는 표시기
- 운영 비용을 낮추고 서비스 품질을 높이는 고객 기반 전반에 걸쳐 위협 공격 모드/방법 및 케이스 관리를 제공합니다.
워크플로, 대시보드, 보고서 등을 위한 별도의 고객 작업 공간이 있으면 고객 데이터가 분리되어 다른 클라이언트에 노출되지 않습니다.
버전 릴리스별 위협 인텔리전스 도메인 분리 지원
- 보안 인시던트 옵저버블은 인시던트가 생성되는 ID/자격 증명/범위가 있는 사용자의 적절한 도메인으로 전달됩니다. 인시던트에서 추출된 옵저버블은 보안 인시던트의 도메인에 저장됩니다.
- 사이버 위협 정보 피드를 제공하는 하나 이상의 TAXII 컬렉션을 다운로드하도록 TAXII 서비스 프로필을 설정합니다. 구성은 프로파일이 설정되는 도메인에 저장됩니다.
- 구성이 수행되는 도메인의 IOC 리포지토리에 위협 피드 다운로드를 설정합니다.
- 정보를 자동으로 제공하는 위협 인텔리전스 소스의 도메인 또는 사용자가 새 공격 모드/방법을 수동으로 추가하는 도메인에서 공격 모드/방법 생성
- 케이스와 관련된 인시던트, 옵저버블, CI, 사용자 및 영향 표시기(IOC)에 대한 장기 조사를 위한 케이스 생성 케이스는 사용자가 만든 도메인에 저장됩니다.
에서 도메인 분리가 작동하는 위협 인텔리전스 방식(의 보안 인시던트 응답일부로서)
위협 인텔리전스는 Professional 및 Enterprise 계층에서 Security Incident Response의 일부이지만 표준 계층에서는 그렇지 않습니다. 따라서 별도의 플러그인이 필요합니다. 위협 인텔리전스 모듈(애플리케이션의 보안 인시던트 응답 일부)은 조직의 보안 인시던트와 관련된 위협 인텔리전스 정보를 생성하고 관리합니다. 다음 사용 사례는 도메인 분리를 인식합니다.
- 인시던트 생성 시 보안 인시던트 옵저버블 생성
- 이메일 파서(플랫폼 기반, 사용자 보고 피싱, 사용자 지정)
- 타사 SIEM(보안 정보 및 이벤트 관리) 저장소의 애플리케이션에서
- SOC 분석가가 수동으로 입력
- 위협 피드 소스에서 옵저버블 수집 - TAXII 수집의 위협 인텔리전스 소스
- 보안 인시던트 옵저버블 관리
- 옵저버블을 관련 표시기와 연결
- 옵저버블을 보안 인시던트와 연결
- 옵저버블을 하위 옵저버블과 연결
- 옵저버블을 위협 피드 소스에 연결
- 옵저버블에 보안 주석 추가
- 영향 표시기 관리
- 표시기를 관련 옵저버블과 연결
- 표시기를 공격 모드/방법과 연결
- 표시기를 표시기 유형과 연결
- 위협 피드 소스에 표시기 연결
- 표시기에 보안 주석 추가
- 케이스 관리
- 케이스 생성(수동으로 또는 인시던트에서)
- 새 케이스를 편집하여 상세 정보 추가(케이스 유형 및 심각도 선택, 인시던트, 옵저버블, 구성 항목, 사용자, 표시기 추가)
- 케이스 삭제
도메인 분리 설정
Threat Intelligence에 대한 도메인 분리를 설정할 때는 추가 단계가 필요하지 않습니다. 모든 Threat Intelligence 테이블은 인스턴스가 도메인 분리된 후 도메인 열을 획득합니다.
도메인 분리 데이터
데이터는 도메인으로 분리될 수 있으며, 이는 다음을 의미합니다.
- 한 도메인의 보안 인시던트 옵저버블은 다른 도메인의 범위에서 볼 수 없습니다.
- 한 도메인의 손상 표시기는 다른 도메인의 범위에서 볼 수 없습니다.
- 한 도메인과 관련된 공격 모드/방법은 다른 도메인의 범위에서 볼 수 없습니다.
- 한 도메인과 연결된 TAXII 서비스 프로필은 다른 도메인의 범위에서 볼 수 없습니다.
- 한 도메인과 연결된 위협 인텔리전스 원본은 다른 도메인의 범위에서 볼 수 없습니다.
- 한 도메인과 관련된 케이스는 다른 도메인의 범위에서 볼 수 없습니다.
- IP 주소/URL에 대한 추가 정보를 검색할 도메인 이름
- 검색에 사용할 API 키
- 원격 스캐너로 보내기 전에 로컬 IoC 테이블을 조회합니다.
- 로컬 옵저버블이 고려되는 일 수
- 위협 인텔리전스 소스로부터 수신되지 않은 경우 공격 모드/방법을 비활성으로 표시
- 지정된 일수 동안 소스에서 수신되지 않은 경우 표시기를 비활성으로 표시
구성
위협 인텔리전스 기능 구성의 모든 측면은 도메인 분리 환경에 자체적으로 포함됩니다.
도메인별로 다음 작업을 구성할 수 있습니다.
- TAXII 서비스 프로필 작성
- 검색 서비스 구성 선택
- 컬렉션 선택 서비스 구성 - 사용자 및 사용자 그룹에 역할 할당
- 위협 인텔리전스 소스 생성
- 위협 인텔리전스 정보를 제공하는 REST 서비스 구성
- 위협 인텔리전스 정보 다운로드 예약
- 소스에 할당할 위협 세부 정보 선택
- 공격 모드/방법 생성(수동)
- 소스, 멀웨어 유형, 공격 메커니즘, 위협 액터 유형, 설명, 처리, 의도된 효과, 처음 발견, 최종 발견
- 관련 표시기, 하위 공격 모드/방법, 관련 보안 인시던트주:공격 모드/방법도 위협 피드 소스에서 자동으로 생성됩니다.
- 다음 위협 정보 범주에 대한 기본 목록 설정:
- 공격 메커니즘
- 검색 방법
- 피드
- 표시기 유형
- 의도된 효과
- 알림
- 옵저버블 유형
- 속도 제한 정의
- 위협 액터 유형
- 공격 동기
- 인프라 유형
- 맬웨어 역량
- 맬웨어 유형
- 보고서 유형
- 위협 액터 역할
- 도구 유형
테넌트 도메인이 자체 애플리케이션 데이터를 관리하는 방법How tenant domains manage their own application data
- 테넌트 도메인 소유자는 고유한 TAXII 서비스 프로필을 만들 수 있습니다.
- 테넌트 도메인 소유자는 고유한 위협 인텔리전스 원본을 만들 수 있습니다.
- 테넌트 도메인 소유자는 고유한 공격 모드/방법을 만들 수 있습니다.
- 테넌트 도메인 소유자는 위협 정보 범주에 대한 고유한 기본 목록을 만들 수 있습니다.