Domain Separation und Threat Intelligence

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Domänentrennung wird in unterstützt Threat Intelligence Modul, das als Teil von Security Incident Response verfügbar ist. Mit der Domain Separation können Sie Daten, Prozesse und Verwaltungsaufgaben in logische Gruppierungen, sogenannte Domänen, aufteilen. Sie können verschiedene Aspekte dieser Trennung steuern, einschließlich der Benutzer, die Daten sehen und darauf zugreifen können.

    Support-Stufe: Basis

    • Umfasst die Basis-Support-Stufe.
    • Geschäftslogik: Der Service Provider (SP) erstellt oder ändert Prozesse für einzelne Kunden. Die Anwendungsfälle spiegeln die ordnungsgemäße Verwendung der Anwendung durch mehrere SP-Kunden in einer einzigen Instanz wider.
    • Der Besitzer der Instanz muss die MVP-Geschäftslogik (Minimum des lebensfähigen Produkts) und die Datenparameter pro Mandant wie erwartet für die spezifische Anwendung konfigurieren.

    Beispiel-Anwendungsfall: Ein Administrator muss in der Lage sein, Kommentare beim Schließen eines Datensatzes für einen Mandanten obligatorisch zu machen, für andere hingegen nicht.

    Weitere Informationen zu den Supportstufen finden Sie unter Anwendungssupport für Domänentrennung.

    Übersicht

    Im Threat Intelligence-Modul (als Teil der Security Incident Response-Anwendung) ermöglicht die Domänentrennung Service Providern (SPS) die Erstellung und Verwaltung des Threat Intelligence-Repositorys auf folgende Weise:

    • Bedrohungsquellen und TAXII-Profile (Trusted Automated Exchange of Indicator Information)
    • Erkennbare Elemente
    • Kompromittierungsindikatoren
    • Bedrohungsangriffsmodi/-Methoden und Fallmanagement für den gesamten Kundenstamm, für den sie zuständig sind, mit niedrigeren Betriebskosten und einer höheren Servicequalität

    Durch separate Kundenarbeitsbereiche für Workflows, Dashboards, Berichte usw. wird sichergestellt, dass Kundendaten getrennt werden und niemals anderen Clients zugänglich gemacht werden.

    Unterstützung der Domänentrennung in Threat Intelligence Nach Versionsrelease

    Domänentrennung für das Threat Intelligence-Modul (als Teil von Security Incident Response Anwendung) deckt die folgenden Produktfunktionen ab:
    • Erkennbare Security Incident-Elemente werden an die entsprechende Domäne des Anwenders weitergeleitet, dessen ID/Anmeldeinformationen/Umfang den Incident generiert. Die aus dem Incident extrahierten erkennbaren Elemente werden in der Domäne des Security Incident gespeichert.
    • Einrichten von TAXII-Serviceprofilen zum Herunterladen einer oder mehrerer TAXII-Sammlungen, die Informationen zu Cyberbedrohungen bieten. Die Konfiguration wird in der Domäne gespeichert, unter der das Profil eingerichtet wird.
    • Einrichten des Downloads von Bedrohungsfeeds in das IOC-Repository in der Domäne, unter der die Konfiguration ausgeführt wird.
    • Erstellung von Angriffsmodi/-Methoden in der Domäne der Threat Intelligence-Quelle, die die Informationen automatisch bereitstellt, oder der Domäne, unter der ein neuer Angriffsmodus/-Methode vom Anwender manuell hinzugefügt wird
    • Erstellung von Fällen für die langfristige Untersuchung von Incidents, erkennbaren Elementen, CIs, Anwendern und Indikatoren der Kompromittierung (IOC), die dem Fall zugeordnet sind. Der Fall wird in der vom Anwender erstellten Domäne gespeichert.
    Hinweis:
    In allen obigen Fällen gelten die übergreifenden Prinzipien der Sichtbarkeit in getrennten Domänen in der NOW Platform. Wie immer kann ein Incident in der übergeordneten Domäne auf Artefakte in der untergeordneten Domäne verweisen, aber nicht umgekehrt.

    Funktionsweise der Domänentrennung in Threat Intelligence(Als Teil von Security Incident Response)

    Threat Intelligence ist Teil von Security Incident Response auf den Stufen Professional und Enterprise, jedoch nicht auf der Stufe Standard. Daher ist ein separates Plugin erforderlich. Das Threat Intelligence-Modul (als Teil von Security Incident Response Anwendung) erstellt und verwaltet die Threat Intelligence-Informationen, die Security Incidents in einer Organisation zugeordnet sind. Die folgenden Anwendungsfälle sind auf Domänentrennung ausgerichtet:

    • Erstellung erkennbarer Security Incident-Elemente zum Zeitpunkt der Incident-Erstellung
      • Aus E-Mail-Parsern (plattformbasiert, von Anwendern gemeldetes Phishing, anwenderdefiniert)
      • Aus Anwendungen in SIEM-Stores (Security Information and Event Management) von Drittparteien
      • Manuell vom SOC-Analysten eingegeben
    • Sammlung erkennbarer Elemente aus Bedrohungs-Feed-Quellen: Threat Intelligence-Quellen aus TAXII-Sammlungen
    • Verwalten Sie erkennbare Security Incident-Elemente
      • Ordnen Sie erkennbare Elemente zugehörigen Indikatoren zu
      • Ordnen Sie erkennbare Elemente Security Incidents zu
      • Ordnen Sie erkennbare Elemente untergeordneten erkennbaren Elementen zu
      • Erkennbares Element der Bedrohungs-Feed-Quelle zuordnen
      • Fügen Sie erkennbaren Elementen Sicherheitsanmerkungen hinzu
    • Verwalten Sie Kompromittierungsindikatoren
      • Ordnen Sie Indikatoren zugehörigen erkennbaren Elementen zu
      • Ordnen Sie Indikatoren dem Angriffsmodus/-Methode zu
      • Ordnen Sie Indikatoren Indikatortypen zu
      • Ordnen Sie Indikatoren der Bedrohungs-Feed-Quelle zu
      • Fügen Sie Sicherheitsanmerkungen zu Indikatoren hinzu
    • Verwalten Sie Fälle
      • Fall erstellen (manuell oder aus einem Incident)
      • Bearbeiten Sie einen neuen Fall, um Details hinzuzufügen (Falltyp und Schweregrad auswählen, Incidents, erkennbare Elemente, Konfigurationselemente, Anwender hinzufügen, Indikatoren)
      • Löschen Sie einen Fall

    Domänentrennung – Einrichtung

    Das Einrichten der Domänentrennung für Threat Intelligence erfordert keine zusätzlichen Schritte. Alle Threat Intelligence-Tabellen erhalten die Spalte „Domäne“, nachdem die Instanz domänengetrennt wurde.

    Domänengetrennte Daten

    Daten können domänengetrennt werden, was bedeutet:

    • Erkennbare Security Incident-Elemente in einer Domäne können nicht im Umfang anderer Domänen angezeigt werden.
    • Kompromittierungsindikatoren in einer Domäne können nicht im Umfang anderer Domänen angezeigt werden.
    • Angriffsmodi/-Methoden, die einer Domäne zugeordnet sind, können nicht im Umfang anderer Domänen angezeigt werden.
    • TAXII-Serviceprofile, die einer Domäne zugeordnet sind, können nicht im Umfang anderer Domänen angezeigt werden.
    • Threat Intelligence-Quellen, die einer Domäne zugeordnet sind, können nicht im Umfang anderer Domänen angezeigt werden.
    • Fälle, die einer Domäne zugeordnet sind, können nicht im Bereich anderer Domänen angezeigt werden.
    Threat Intelligence-Eigenschaften werden auf globaler Ebene festgelegt und sind daher nicht domänengetrennt. Die Einstellungen umfassen:
    • Der Domänenname zum Abrufen zusätzlicher Informationen für IP-Adressen/URLs
    • Der API-Schlüssel, der für den Abruf verwendet werden soll
    • Suchen Sie nach lokalen IOC-Tabellen, bevor Sie sie an den Remote-Scanner senden
    • Anzahl der Tage, an denen lokale erkennbare Elemente berücksichtigt werden
    • Angriffsmodus/-Methode wird als inaktiv markiert, wenn sie nicht von bedrohungsinformationsquellen empfangen wird
    • Markieren eines Indikators als inaktiv, wenn er für eine angegebene Anzahl von Tagen von keiner Quelle empfangen wurde

    Konfiguration

    Alle Aspekte der Konfiguration der Threat Intelligence-Funktionalität sind in einer domänengetrennten Umgebung enthalten.

    Die folgenden Aufgaben können pro Domäne konfiguriert werden:

    1. Erstellung von TAXII-Serviceprofilen
      • Wählen Sie eine Discovery-Servicekonfiguration aus
      • Wählen Sie eine Sammlungsservicekonfiguration aus: Weisen Sie Anwendern und Anwendergruppen Rollen zu
    2. Erstellung von Threat Intelligence-Quellen
      • Konfigurieren Sie den REST-Service, der die Threat intel-Informationen bereitstellt
      • Planen Sie den Download von Bedrohungsinformationen
      • Wählen Sie Informationen zu Bedrohungsdetails aus, die der Quelle zugewiesen werden sollen
    3. Erstellung von Angriffsmodus/-Methoden (manuell)
      • Quelle, Malware-Typ, Angriffsmechanismus, Bedrohungsakteurtyp, Beschreibung, Verarbeitung, beabsichtigte Wirkung, zuerst gesehen, zuletzt gesehen
      • Zugehörige Indikatoren, untergeordneter Angriffsmodus/-Methode, zugehörige Security Incidents
        Hinweis:
        Angriffsmodi/-Methoden werden auch aus den Bedrohungs-Feed-Quellen automatisch erstellt.
    4. Festlegen von Standardlisten für die folgenden Bedrohungsinformationskategorien:
      • Angriffsmechanismen
      • Discovery-Methoden
      • Feeds
      • Indikatortypen
      • Beabsichtigte Wirkungen
      • Benachrichtigungen
      • Typen von erkennbaren Elementen
      • Quotengrenzdefinitionen
      • Bedrohungsakteurtypen
      • Angriffsmotivationen
      • Infrastrukturtypen
      • Malware-Fähigkeiten
      • Schadsoftwaretypen
      • Berichtstypen
      • Rollen des Bedrohungsakteurs
      • Tooltypen

    Wie Mandantendomänen ihre eigenen Anwendungsdaten verwalten

    • Mandantendomänenbesitzer können eigene TAXII-Serviceprofile erstellen.
    • Mandantendomänenbesitzer können eigene Threat Intelligence-Quellen erstellen.
    • Mandantendomänenbesitzer können eigene Angriffsmodi/-Methoden erstellen.
    • Mandantendomänenbesitzer können eigene Standardlisten für Bedrohungsinformationskategorien erstellen.
    Hinweis:
    Geschäftslogik und -Prozesse ermöglichen es, dass Downloadzeitpläne für Threat Intelligence-Quellen domänengetrennt nach Instanzbesitzer sind.