Separação de domínios e Resposta a incidentes de segurança
Separação de domínios é compatível com Resposta a incidentes de segurança. O Domain Separation permite separar dados, processos e tarefas administrativas em agrupamentos lógicos chamados de domínios. Você pode controlar vários aspectos dessa separação, incluindo quais usuários podem ver e acessar os dados.
Nível de suporte: Padrão
- Inclui todos os aspectos do nível de suporte Básico.
- As propriedades da aplicação reconhecem o domínio quando necessário.
- Lógica de negócios: o provedor de serviço (SP) cria ou modifica processos por cliente. Os casos de uso refletem o uso adequado do aplicativo por vários clientes de SP em uma única instância.
- O proprietário da instância deve configurar a lógica de negócios do produto minimamente viável (MVP) e os parâmetros de dados por locatário conforme esperado para o aplicativo específico.
Exemplo de caso de uso: um administrador deve ser capaz de fazer os comentários necessários quando um registro é encerrado para um locatário, mas não para outro.
Para obter mais informações sobre os níveis de suporte, consulte Suporte de aplicação para separação de domínio.
Visão geral de Separação de domínios no SIR
Em Resposta a incidentes de segurança A separação de aplicações e domínios permite que os provedores de serviços (SPs) padronizem os procedimentos de SOC (Centro de operações de segurança) e Resposta a incidentes de segurança (SIR) em toda a base de clientes que atendem com custos operacionais reduzidos e uma qualidade de serviço mais alta. Espaços de cliente separados para fluxos de trabalho, painéis, relatórios e assim por diante garantem que os dados do cliente sejam separados e nunca expostos a outros clientes.
| Liberação | Nível de suporte | Anotações |
|---|---|---|
| Genebra, Helsínquia | Sem suporte | Início da separação de domínio no nível de dados |
| Istambul | Somente dados | |
| Jakarta | Nível 2 (Dados, Solicitante, Executante) | Novos recursos Suporte a integrações de terceiros com separação de domínio de nível 2 em uma única instância de integração, incluindo integrações de Inteligência contra ameaças |
| Kingston | Nível 2 (Dados, Solicitante, Executante) | Novos recursos : A integração da Pesquisa de detecção para SIR está habilitada com várias instâncias, mas todas as instâncias ainda estão em um único domínio. Exemplo: Se houver duas instâncias de uma integração do Splunk configuradas (SplunkCLOUD e SplunkCORP), ambas ainda serão aproveitadas para atividades de resposta a incidentes em um único domínio, onde a implementação foi originalmente configurada. |
| London | Nível 2 (Dados, Solicitante, Executante) | Novos recursos : Todas as integrações residem em vários domínios |
| Madri | Nível 2 (Dados, Solicitante, Executante) | Agora, todas as integrações podem residir em vários domínios. No exemplo acima, SplunkCloud pode ser domain1 e SplunkCORP domain2. |
| Nova York | Nível 2 (Dados, Solicitante, Executante) | Todas as integrações residem em vários domínios. |
| Orlando | Padrão | Todas as integrações residem em vários domínios. |
| Paris | Padrão | Todas as integrações residem em vários domínios. |
Separação de domínio para Resposta a incidentes de segurança a aplicação abrange as seguintes funcionalidades do produto:
- Os alertas de segurança são direcionados para o domínio apropriado do usuário cujo ID/credencial/escopo gera o incidente e está registrado como um incidente de segurança.
- Os alertas geram "observáveis", que representam propriedades com estado ou eventos mensuráveis: Fluxos de trabalho de segurança no domínio do incidente de segurança são usados para orquestrar a resposta.
- As integrações são configuradas no domínio do incidente de segurança para automação de resposta.
- As capacidades são configuradas no domínio do incidente de segurança para automação de resposta. Essas capacidades (a partir da versão Kingston) incluem:
- Pesquisa de ameaças
- Aprimorar observável
- Item de configuração de aprimoramento
- Obter processo em execução
- Obter Estatísticas de Rede
- Solicitação de bloqueio
- Isolar Host
- Pesquisa de Vistas
- Pesquisa e exclusão de e-mails
- Publicar na lista de observadores
- Os resultados da automação de resposta (como Pesquisa de ameaças ou Pesquisa de detecções) são armazenados no domínio do incidente de segurança.
- Outros incidentes de segurança têm referência cruzada no mesmo domínio do incidente de segurança com base em um conjunto compartilhado de observáveis.
- Outros usuários têm referência cruzada no domínio do incidente de segurança.
- Os itens de configuração têm referência cruzada no mesmo domínio que o incidente de segurança.
- As tarefas de resposta manual são adicionadas ao domínio do incidente de segurança.
- Os artigos da base de conhecimento e livros de execução são referenciados no domínio do incidente de segurança.
- As métricas de Resposta a incidentes de segurança pertinentes a incidentes no domínio são exibidas em painéis e na emissão de relatórios.
Nota:
Nos casos anteriores, os princípios abrangentes de visibilidade em domínios separados na NOW Platform se aplicam. Como sempre, um incidente no domínio primário pode fazer referência a artefatos no domínio secundário, mas não o contrário.
Como a separação de domínio funciona na Resposta a incidentes de segurança
. Resposta a incidentes de segurança a aplicação gerencia o ciclo de vida de um incidente de segurança de ponta a ponta Os seguintes casos de uso reconhecem a separação de domínio:
- Ingestão de eventos e alertas Para criar incidentes de segurança para que o analista no SOC do cliente ou o MSP responda:
- Analisadores de e-mail (baseados em plataforma, phishing relatado pelo usuário, personalizado)
- Alertas/eventos de desduplicação antes da criação do incidente
- Extração automática de observáveis
- Aplicações no armazenamento SIEM de terceiros
- Aprimoramento De artefatos envolvidos nos incidentes (IP, URLs, domínios, hashes de arquivo):
- Aprimoramento de ativos (CMDB)
- Usuários (plataforma)
- Automação: Aprimoramento de observável (por exemplo: WHOIS)
- Investigue os incidentes com a ajuda dos artefatos e sua reputação ou associação com ameaças conhecidas
- Orquestrar: Playbooks e artigos da base de conhecimento
- Automação: Pesquisa de ameaças (por exemplo: Virustotal), Pesquisa de detecções (por exemplo: Splunk), Obter processos em execução (por exemplo: Carbon Black)
- Erradicar os artefatos relacionados à ameaça envolvidos no incidente com base na investigação realizada
- Orquestrar: Playbooks e artigos da base de conhecimento
- Automação: Pesquisa e exclusão de e-mail (por exemplo: Microsoft Exchange), bloquear IP (por exemplo: Firewall de Palo Alto)
- Medida As operações de resposta a incidentes ou eficiência
- Painéis de análise de desempenho: Tendências de incidentes e produtividade
- Reconstrução de etapas de investigação de incidente a partir de anotações de trabalho
- Revisão pós-incidente
Configuração de separação de domínio
Configurando separação de domínio para Resposta a incidentes de segurança não requer etapas adicionais. Todos Resposta a incidentes de segurança As tabelas adquirem a coluna Domínio depois que a instância é separada pelo domínio.
Dados separados por domínio
Os dados podem ser separados por domínio, o que significa:
- Os incidentes de segurança em um domínio não podem ser exibidos de outros domínios.
- Os observáveis extraídos do incidente de segurança são colocados no mesmo domínio e não podem ser exibidos de outros domínios.
- Até a versão Kingston, as integrações de terceiros configuradas existem no domínio global e são acessíveis a todos os outros domínios na instância.
- Na versão Madrid, as integrações de terceiros podem ser configuradas e ativadas por domínio. Isso significa que a integração ativada e configurada em um domínio não pode ser aproveitada em outro domínio.
- As automações executadas nos observáveis usando integrações de terceiros (para investigação, contenção ou erradicação de ameaças) colocam os resultados no domínio do incidente de segurança e os resultados não podem ser exibidos de outro domínio.
- Os fluxos de trabalho de orquestração criados em um domínio não são visíveis em outro domínio.
- As capacidades (conforme delineadas na lista de funções Capacidades anterior) invocadas permanecem genéricas nos domínios com a implementação específica do domínio da capacidade que está sendo chamada. Por exemplo, uma Pesquisa de avistamento em um IP pode invocar uma implementação Splunk em um domínio e uma implementação do QRadar em outro.
Configuração
Todos os aspectos da configuração do produto são independentes em um ambiente separado por domínio. A configuração pode ser personalizada para domínios individuais.
Nota:
A lógica de negócios e os processos no nº 2-5 abaixo podem ser administrados no domínio do locatário.
As seguintes tarefas devem ser configuradas:
- Administração do Sistema
- Atribuir funções a usuários e grupos de usuários: Funções de usuário instaladas com a Resposta a incidentes de segurança
- Instale um ou mais plug-ins de integração de terceiros com os quais trabalhar Resposta a incidentes de segurança: Integrações do Resposta a incidentes de segurança
- Resposta a incidentes de segurança Administration
- Adicionar ou revisar funções: Componentes instalados com Resposta a incidentes de segurança
- Configurar grupos e usuários: Crie um grupo de incidentes de segurança
- Configurar escalações de incidente: Escale um incidente de segurança
- Configurar calculadoras de pontuação de risco de incidente de segurança: Noções básicas sobre calculadoras de incidentes de segurança
- Configurar acordos de nível de serviço: Crie um Resposta a incidentes de segurança ANS
- Definir definições de processo de incidente de segurança: Noções básicas sobre a definição do processo de resposta a incidentes de segurança
- Configurar processos de revisão pós-incidente: Gerencie atividades pós-incidente
- Configurações de e-mail de incidente de segurança
- Defina a caixa de entrada de análise de e-mail: Operações de segurança análise de e-mail
- Configure analisadores de e-mail para ingestão de alertas: Crie analisadores de e-mail em Operações de segurança
- Configure regras de correspondência de e-mail para phishing relatado pelo usuário: Crie regras para validar ataques de phishing relatados pelo usuário
- Configurar ações de entrada de e-mail: Ações de e-mail de entrada
- Configurações do playbook de incidente de segurança
- Revisar e configurar documentos do runbook: Crie um runbook de resposta a incidentes de segurança
- Configurar fluxos de trabalho de incidente de segurança: Operações de segurança funcionalidade comum
- Configurações de capacidade
- Solicitação de bloqueio: Integração de operações de segurança - capacidade de solicitação de bloco
- E-mail de pesquisa e exclusão: Integração de operações de segurança - Capacidade de pesquisa e exclusão de e-mail
- Item de configuração aprimorado: Integração de operações de segurança- Enriquecer capacidade de IC
- Aprimorar observável: Integração de operações de segurança- Enriquecer a capacidade observável
- Obter estatísticas de rede: Integração de operações de segurança- Obter capacidade de estatísticas de rede
- Obter processos em execução: Integração de operações de segurança- Obter capacidade de processos em execução
- Isolar host: Integração de operações de segurança - Isolar capacidade do host
- Publicar na lista de observação: Integração de operações de segurança - Publicar na capacidade de lista de observação
- Pesquisa de detecções: Integração de operações de segurança - Capacidade de pesquisa de detecções
- Pesquisa de ameaças: Integração de operações de segurança - Capacidade de pesquisa de ameaças
Como os domínios de locatário gerenciam seus dados de aplicação próprios
- Os proprietários do domínio do locatário criam suas próprias regras de análise de e-mail para ingerir incidentes de segurança.
- Os proprietários do domínio do locatário podem configurar integrações específicas exclusivamente para uso no domínio.
- Os proprietários do domínio do locatário podem criar seus próprios fluxos de trabalho de resposta a incidentes.
- Os proprietários do domínio do locatário podem criar suas próprias categorias de incidente, artigos da base de conhecimento de resposta a incidentes e runbooks a serem associados aos fluxos de trabalho de resposta a incidentes.
- Os usuários do domínio do locatário criam e encerram seus próprios incidentes de segurança.
Lógica de negócios e processos que podem ser separados por domínio pelo proprietário da instância
- Resposta a incidentes de segurança usuários e grupos
- Resposta a incidentes de segurança Integrações (começando com a versão Madrid)
- Regras de análise de e-mail para criação de incidente
- Regras de negócios para consolidar vários eventos ou alertas em um incidente de segurança
- Fluxos de trabalho para orquestração de resposta a incidentes
- Calculadoras de pontuação de risco de incidente de segurança
- Caminho de escalação de incidente de segurança
- ANS de incidente de segurança
- Definições de processo de incidente de segurança
- Processos de revisão pós-incidente de segurança