Domain Separation und Threat Intelligence

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Domänentrennung wird im Modul Threat Intelligence unterstützt, das als Teil von Security Incident Response verfügbar ist. Mit der Domain Separation können Sie Daten, Prozesse und Verwaltungsaufgaben in logische Gruppierungen, sogenannte Domänen, aufteilen. Sie können verschiedene Aspekte dieser Trennung steuern, einschließlich der Benutzer, die Daten sehen und darauf zugreifen können.

    Support-Stufe: Basis

    • Umfasst die Basis-Support-Stufe.
    • Geschäftslogik: Der Service Provider (SP) erstellt oder ändert Prozesse für einzelne Kunden. Die Anwendungsfälle spiegeln die ordnungsgemäße Verwendung der Anwendung durch mehrere SP-Kunden in einer einzigen Instanz wider.
    • Der Besitzer der Instanz muss die MVP-Geschäftslogik (Minimum des lebensfähigen Produkts) und die Datenparameter pro Mandant wie erwartet für die spezifische Anwendung konfigurieren.

    Beispiel-Anwendungsfall: Ein Administrator muss in der Lage sein, Kommentare beim Schließen eines Datensatzes für einen Mandanten obligatorisch zu machen, für andere hingegen nicht.

    Weitere Informationen zu den Supportstufen finden Sie unter Anwendungssupport für Domänentrennung.

    Übersicht

    Im Threat Intelligence-Modul (als Teil der Security Incident Response-Anwendung) ermöglicht die Domänentrennung Service Providern (SPs), das Threat Intelligence-Repository wie folgt zu erstellen und zu verwalten:

    • Bedrohungsquellen und TAXII-Profile (Trusted Automated Exchange of Indicator Information).
    • Erkennbare Elemente
    • Kompromittierungsindikatoren
    • Bedrohungsangriffsmodi/-methoden und Fallmanagement im gesamten Kundenstamm mit geringeren Betriebskosten und höherer Servicequalität

    Durch separate Kundenarbeitsbereiche für Workflows, Dashboards, Berichte usw. wird sichergestellt, dass Kundendaten getrennt und niemals für andere Clients verfügbar sind.

    Unterstützung der Domänentrennung in Threat Intelligence nach Versions-Release

    Die Domänentrennung für das Threat Intelligence-Modul (als Teil der Anwendung Security Incident Response ) umfasst die folgenden Produktfunktionen:
    • Erkennbare Security Incident-Elemente werden an die entsprechende Domäne des Benutzers weitergeleitet, dessen ID/Anmeldeinformationen/Umfang den Incident generiert. Die aus dem Incident extrahierten erkennbaren Elemente werden in der Domäne des Security Incident gespeichert.
    • Einrichten von TAXII-Serviceprofilen zum Herunterladen einer oder mehrerer TAXII-Sammlungen, die Informations-Feeds zu Cyberbedrohungen anbieten. Die Konfiguration wird in der Domäne gespeichert, unter der das Profil eingerichtet wird.
    • Richten Sie den Download von Bedrohungs-Feeds in das IoC-Repository in der Domäne ein, in der die Konfiguration ausgeführt wird.
    • Erstellung von Angriffsmodus/-methoden in der Domäne der Threat Intelligence-Quelle, die die Informationen automatisch bereitstellt, oder der Domäne, in der ein neuer Angriffsmodus/eine neue Angriffsmethode manuell vom Benutzer hinzugefügt wird
    • Erstellung von Fällen für die langfristige Untersuchung von Incidents, erkennbaren Elementen, CIs, Benutzern und Gefährdungsindikatoren (IoC), die dem Fall zugeordnet sind. Der Fall wird in der vom Benutzer erstellten Domäne gespeichert.
    Hinweis:
    In allen oben genannten Fällen gelten die übergeordneten Prinzipien der Transparenz in getrennten Domänen in der NOW-Plattform. Wie immer kann ein Incident in der übergeordneten Domäne auf Artefakte in der untergeordneten Domäne verweisen, aber nicht umgekehrt.

    Funktionsweise der Domänentrennung in Threat Intelligence (als Teil von Security Incident Response)

    Threat Intelligence ist Teil von Security Incident Response in den Stufen „Professional“ und „Enterprise“, nicht jedoch in der Stufe „Standard“. Daher ist ein separates Plugin erforderlich. Das Threat Intelligence-Modul (als Teil der Anwendung Security Incident Response ) erstellt und verwaltet die Threat Intelligence-Informationen, die Security Incidents in einer Organisation zugeordnet sind. Die folgenden Anwendungsfälle sind für die Domänentrennung geeignet:

    • Erstellung von erkennbaren Security Incident-Elementen zum Zeitpunkt der Incident-Erstellung
      • Von E-Mail-Parsern (plattformbasiert, von Benutzern gemeldetes Phishing, benutzerdefiniert)
      • Aus Anwendungen in SIEM-Speichern (Security Information and Event Management) von Drittanbietern
      • Manuell vom SOC-Analysten eingegeben
    • Sammlung von erkennbaren Elementen aus Bedrohungs-Feed-Quellen: Threat Intelligence-Quellen aus TAXII-Sammlungen
    • Erkennbare Security Incident-Elemente verwalten
      • Ordnen Sie erkennbare Elemente zugehörigen Indikatoren zu
      • Verknüpfen Sie erkennbare Elemente mit Security Incidents
      • Ordnen Sie erkennbare Elemente untergeordneten erkennbaren Elementen zu
      • Ordnen Sie das erkennbare Element der Bedrohungs-Feed-Quelle zu
      • Fügen Sie Sicherheitsanmerkungen zu erkennbaren Elementen hinzu
    • Gefährdungsindikatoren verwalten
      • Verknüpfen Sie Indikatoren mit zugehörigen erkennbaren Elementen
      • Ordnen Sie Indikatoren dem Angriffsmodus/der Angriffsmethode zu
      • Ordnen Sie Indikatoren Indikatortypen zu
      • Ordnen Sie Indikatoren der Bedrohungs-Feed-Quelle zu
      • Fügen Sie Indikatoren Sicherheitsanmerkungen hinzu
    • Fälle verwalten
      • Fall erstellen (manuell oder aus einem Incident)
      • Neuen Fall bearbeiten, um Details hinzuzufügen (Falltyp und Schweregrad auswählen, Incidents, erkennbare Elemente, Konfigurationselemente, Benutzer, Indikatoren hinzufügen)
      • Löschen Sie einen Fall

    Domänentrennung – Einrichtung

    Das Einrichten der Domänentrennung für Threat Intelligence erfordert keine zusätzlichen Schritte. Alle Threat Intelligence-Tabellen erfassen die Domänenspalte, nachdem die Instanz domänengetrennt wurde.

    Domänengetrennte Daten

    Daten können domänengetrennt sein, was bedeutet:

    • Erkennbare Security Incident-Elemente in einer Domäne können nicht im Umfang anderer Domänen angezeigt werden.
    • Kompromittierungsindikatoren in einer Domäne können nicht im Umfang anderer Domänen angezeigt werden.
    • Angriffsmodi/-methoden, die einer Domäne zugeordnet sind, können nicht aus dem Bereich anderer Domänen angezeigt werden.
    • TAXII-Serviceprofile, die einer Domäne zugeordnet sind, können nicht aus dem Bereich anderer Domänen angezeigt werden.
    • Einer Domäne zugeordnete Threat Intelligence-Quellen können nicht im Umfang anderer Domänen angezeigt werden.
    • Fälle, die einer Domäne zugeordnet sind, können nicht im Bereich anderer Domänen angezeigt werden.
    Threat Intelligence-Eigenschaften werden auf globaler Ebene festgelegt und sind daher nicht domänengetrennt. Die Einstellungen umfassen:
    • Der Domänenname zum Abrufen zusätzlicher Informationen für IP-Adressen/URLs
    • Der API-Schlüssel, der für den Abruf verwendet werden soll
    • Sucht nach lokalen IoC-Tabellen, bevor sie an den Remote-Scanner gesendet wird
    • Anzahl der Tage, an denen lokale erkennbare Elemente berücksichtigt werden
    • Markieren eines Angriffsmodus/einer Angriffsmethode als inaktiv, wenn er nicht aus Bedrohungsinformationsquellen empfangen wird
    • Markieren eines Indikators als inaktiv, wenn er für eine bestimmte Anzahl von Tagen nicht von einer Quelle empfangen wurde

    Konfiguration

    Alle Aspekte der Konfiguration der Threat Intelligence-Funktionalität sind in einer domänengetrennten Umgebung in sich abgeschlossen.

    Die folgenden Aufgaben können pro Domäne konfiguriert werden:

    1. Erstellung von TAXII-Serviceprofilen
      • Wählen Sie eine Discovery-Servicekonfiguration aus
      • Wählen Sie eine Sammlungsservice-Konfiguration aus: Weisen Sie Benutzern und Benutzergruppen Rollen zu
    2. Erstellung von Threat Intelligence-Quellen
      • Konfigurieren Sie den REST-Service, der die Bedrohungsinformationen bereitstellt
      • Planen Sie den Download von Informationen zu Bedrohungen
      • Wählen Sie Bedrohungsdetailinformationen aus, die der Quelle zugewiesen werden sollen
    3. Erstellung von Angriffsmodus/-methoden (manuell)
      • Quelle, Malware-Typ, Angriffsmechanismus, Typ des Bedrohungsakteurs, Beschreibung, Handhabung, beabsichtigte Wirkung, zuerst gesehen, zuletzt gesehen
      • Zugehörige Indikatoren, untergeordneter Angriffsmodus/-methode, zugehörige Security Incidents
        Hinweis:
        Angriffsmodi/-methoden werden auch automatisch aus den Bedrohungs-Feed-Quellen erstellt.
    4. Standardlisten für die folgenden Bedrohungsinformationskategorien festlegen:
      • Angriffsmechanismen
      • Discovery-Methoden
      • Feeds
      • Indikatortypen
      • Beabsichtigte Wirkungen
      • Benachrichtigungen
      • Erkennbare Typen
      • Quotengrenzdefinitionen
      • Bedrohungsakteurtypen
      • Angriffsmotivationen
      • Infrastrukturtypen
      • Malware-Fähigkeiten
      • Schadsoftwaretypen
      • Berichtstypen
      • Rollen des Bedrohungsakteurs
      • Tooltypen

    Wie Mandantendomänen ihre eigenen Anwendungsdaten verwalten

    • Mandantendomänenbesitzer können ihre eigenen TAXII-Serviceprofile erstellen.
    • Mandantendomänenbesitzer können ihre eigenen Threat Intelligence-Quellen erstellen.
    • Mandantendomänenbesitzer können ihre eigenen Angriffsmodi/-methoden erstellen.
    • Mandantendomänenbesitzer können ihre eigenen Standardlisten für Bedrohungsinformationskategorien erstellen.
    Hinweis:
    Geschäftslogik und Prozesse ermöglichen die Domänentrennung nach Instanzbesitzern für die Download-Zeitpläne für Threat Intelligence-Quellen.