Separação de domínios e Resposta a incidentes de segurança
Separação de domínios é compatível com Resposta a incidentes de segurança. O Domain Separation permite separar dados, processos e tarefas administrativas em agrupamentos lógicos chamados de domínios. Você pode controlar vários aspectos dessa separação, incluindo quais usuários podem ver e acessar os dados.
Nível de suporte: Padrão
- Inclui todos os aspectos de Básico suporte de nível.
- As propriedades da aplicação reconhecem domínio conforme necessário.
- Lógica de negócios: o provedor de serviço (SP) cria ou modifica processos por cliente. Os casos de uso refletem o uso adequado do aplicativo por vários clientes de SP em uma única instância.
- O proprietário da instância deve configurar a lógica de negócios do produto minimamente viável (MVP) e os parâmetros de dados por locatário conforme esperado para o aplicativo específico.
Exemplo de caso de uso: Um administrador deve ser capaz de fazer comentários necessários quando um registro é encerrado para um locatário, mas não para outro.
Para obter mais informações sobre os níveis de suporte, consulte Suporte de aplicação para separação de domínio.
Visão geral
Em Resposta a incidentes de segurança A separação de aplicações e domínios permite que os provedores de serviço (SPs) padronizem os procedimentos SOC (Security Operations Center, Centro de operações de segurança) e de Resposta a incidentes de segurança (SIR) em toda a base de clientes que atendem com custos operacionais reduzidos e uma qualidade de serviço mais alta. Espaços separados do cliente para fluxos de trabalho, painéis, relatórios e assim por diante garantem que os dados do cliente sejam separados e nunca expostos a outros clientes.
| Versão | Nível de suporte | Anotações |
|---|---|---|
| Genebra, Helsinki | Sem suporte | Início da separação de domínio no nível de dados |
| Istambul | Somente dados | |
| Jakarta | Nível 2 (Dados, Solicitante, Executante) | Novos recursos Suporte a integrações de terceiros com separação de domínio de nível 2 em uma única instância de integração, incluindo integrações de Inteligência contra ameaças |
| Kingston | Nível 2 (Dados, Solicitante, Executante) | Novos recursos A integração da Pesquisa de vistas para SIR está habilitada com várias instâncias, mas todas as instâncias ainda estão em um único domínio. Exemplo: Se houver duas instâncias de uma integração do Splunk configuradas (SplunkCLOUD e SplunkCORP), ambas ainda serão aproveitadas para atividades de resposta a incidentes em um único domínio, onde a implementação foi configurada originalmente. |
| Londres | Nível 2 (Dados, Solicitante, Executante) | Novos recursos : Todas as integrações residem em vários domínios |
| Madri | Nível 2 (Dados, Solicitante, Executante) | Agora, todas as integrações podem residir em vários domínios. No exemplo acima, SplunkCloud pode ser domain1 e SplunkCORP domain2. |
| Nova York | Nível 2 (Dados, Solicitante, Executante) | Todas as integrações residem em vários domínios. |
| Orlando | Padrão | Todas as integrações residem em vários domínios. |
| Paris | Padrão | Todas as integrações residem em vários domínios. |
Separação de domínio para Resposta a incidentes de segurança a aplicação abrange as seguintes funcionalidades do produto:
- Os alertas de segurança são direcionados para o domínio apropriado do usuário cujo ID/credencial/escopo gera o incidente e está registrado como um Incidente de segurança.
- Os alertas geram "observáveis", que representam propriedades com estado ou eventos mensuráveis: Fluxos de trabalho de segurança no domínio do incidente de segurança são usados para orquestrar a resposta.
- As integrações são configuradas no domínio do incidente de segurança para automação de resposta.
- Os recursos são configurados no domínio do incidente de segurança para automação de resposta. Estes recursos (a partir da versão Kingston) incluem:
- Pesquisa de ameaças
- Aprimorar observável
- Item de configuração de aprimoramento
- Obter processo em execução
- Obter estatísticas de rede
- Solicitação de bloqueio
- Isolar Host
- Pesquisa de Vistas
- Pesquisa e exclusão de e-mails
- Publicar na lista de observadores
- Os resultados da Automação de resposta (como Pesquisa de ameaças ou Pesquisa de vistas) são armazenados no domínio do incidente de segurança.
- Outros incidentes de segurança têm referência cruzada no mesmo domínio do incidente de segurança com base em um conjunto compartilhado de observáveis.
- Outros usuários têm referência cruzada no domínio do incidente de segurança.
- Os itens de configuração têm referência cruzada no mesmo domínio que o incidente de segurança.
- Tarefas de resposta manual são adicionadas ao domínio do incidente de segurança.
- Artigos da base de conhecimento e manuais de execução são referenciados no domínio do incidente de segurança.
- As métricas de Resposta a incidentes de segurança pertinentes a incidentes no domínio são exibidas em painéis e na emissão de relatórios.
Nota:
Nos casos anteriores, os princípios abrangentes de visibilidade em domínios separados na NOW Platform se aplicam. Como sempre, um incidente no domínio primário pode fazer referência a artefatos no domínio secundário, mas não o contrário.
Como a separação de domínio funciona na Resposta a incidentes de segurança
. Resposta a incidentes de segurança a aplicação gerencia o ciclo de vida de um incidente de segurança de ponta a ponta Os seguintes casos de uso reconhecem a separação de domínios:
- Ingestão de eventos e alertas Para criar incidentes de segurança para o analista no SOC do cliente ou no MSP responder:
- Analisadores de e-mail (baseados em plataforma, phishing relatado pelo usuário, personalizados)
- Alertas/eventos de desduplicação antes da criação do incidente
- Extração automática de observáveis
- Aplicações no armazenamento SIEM de terceiros
- Aprimoramento De artefatos envolvidos nos incidentes (IP, URLs, domínios, hashes de arquivo):
- Aprimoramento de ativos (CMDB)
- Usuários (plataforma)
- Aprimoramento de observável (por exemplo: WHOIS)
- Investigar os incidentes com a ajuda dos artefatos e sua reputação ou associação com ameaças conhecidas
- Orquestrar: Playbooks e artigos da base de conhecimento
- Pesquisa de ameaças (por exemplo: Virustotal), pesquisa de detecções (por exemplo: Splunk), obter processos em execução (por exemplo: Carbon Black)
- Erradicar os artefatos relacionados à ameaça envolvidos no incidente com base na investigação realizada
- Orquestrar: Playbooks e artigos da base de conhecimento
- Pesquisa e exclusão de e-mail (por exemplo: Microsoft Exchange), bloquear IP (por exemplo: Firewall Palo Alto)
- Medida A eficiência ou as operações de resposta do incidente
- Painéis do Performance Analytics: Produtividade e tendências de incidentes
- Reconstrução de etapas de investigação de incidente a partir de anotações de trabalho
- Revisão pós-incidente
Configuração do Domain Separation
Configuração do Domain Separation para Resposta a incidentes de segurança não requer etapas adicionais. Todos Resposta a incidentes de segurança As tabelas adquirem a coluna Domínio depois que a instância é separada por domínio.
Dados separados por domínio
Os dados podem ser separados por domínio, o que significa:
- Os incidentes de segurança em um domínio não podem ser exibidos de outros domínios.
- Observáveis extraídos do incidente de segurança são colocados no mesmo domínio e não podem ser exibidos de outros domínios.
- Até a versão Kingston, as integrações de terceiros configuradas existem no domínio global e podem ser acessadas por todos os outros domínios na instância.
- Na versão Madrid, as integrações de terceiros podem ser configuradas e ativadas por domínio. Isso significa que a integração ativada e configurada em um domínio não pode ser aproveitada em outro domínio.
- As automações executadas nos observáveis usando integrações de terceiros (para investigação, contenção ou erradicação de ameaças) colocam seus resultados no domínio do incidente de segurança e os resultados não podem ser exibidos de outro domínio.
- Os fluxos de trabalho de Orquestração criados em um domínio não estão visíveis em outro domínio.
- As capacidades (conforme delineadas na lista de funções de capacidades de avanço) que são invocadas permanecem genéricas em domínios com implementação específica do domínio da capacidade que está sendo chamada. Por exemplo, uma Pesquisa de avistamento em um IP pode invocar uma implementação Splunk em um domínio e uma implementação QRadar em outro.
Configuração
Todos os aspectos da configuração do produto são independentes em um ambiente separado por domínio. A configuração pode ser personalizada para domínios individuais.
Nota:
A lógica de negócios e os processos em nº 2-5 abaixo podem ser administrados no domínio do locatário.
As seguintes tarefas devem ser configuradas:
- Administração do Sistema
- Atribuir funções a usuários e grupos de usuários: Funções de usuário instaladas com a Resposta de incidente de segurança
- Instale um ou mais plug-ins de integração de terceiros com os quais trabalhar Resposta a incidentes de segurança: Integrações do Resposta a incidentes de segurança
- Resposta a incidentes de segurança Administration
- Adicionar ou revisar funções: Componentes instalados com Resposta a incidentes de segurança
- Configurar grupos e usuários: Crie um grupo de incidentes de segurança
- Configurar escalações de incidente: Escalar um incidente de segurança
- Configurar calculadoras de pontuação de risco de incidente de segurança: Noções básicas sobre calculadoras de incidentes de segurança
- Configurar acordos de nível de serviço: Crie um Resposta a incidentes de segurança ANS
- Configurar definições de processo de incidente de segurança: Noções básicas sobre a definição do processo de resposta a incidentes de segurança
- Configurar processos de revisão pós-incidente: Gerenciar atividades pós-incidente
- Configurações de e-mail de incidente de segurança
- Defina a caixa de entrada de análise de e-mail: Operações de segurança análise de e-mail
- Configurar analisadores de e-mail para ingestão de alertas: Crie analisadores de e-mail em Operações de segurança
- Configure regras de correspondência de e-mail para phishing relatado pelo usuário: Crie regras para validar ataques de phishing relatados pelo usuário
- Configurar ações de entrada de e-mail: Ações de e-mail de entrada
- Configurações do playbook de incidentes de segurança
- Revisar e configurar documentos de runbook: Crie um runbook de resposta a incidentes de segurança
- Configurar fluxos de trabalho de incidentes de segurança: Operações de segurança funcionalidade comum
- Configurações de capacidade
- Solicitação de bloqueio: Integração de operações de segurança - capacidade de solicitação de bloqueio
- Pesquisa e exclusão de e-mail: Integração de operações de segurança - Recurso de pesquisa e exclusão de e-mail
- Enriquecer item de configuração: Integração de operações de segurança- Enrich a capacidade de IC
- Enriquecer observável: Integração de operações de segurança- Enrich a capacidade observável
- Obter estatísticas de rede: Integração de operações de segurança- Obtenha a capacidade de estatísticas de rede
- Obter processos em execução: Integração de operações de segurança- Obtenha a capacidade de processos em execução
- Isolar host: Integração de operações de segurança- Isolar capacidade do host
- Publicar na lista de observação: Integração de operações de segurança- Publicar na lista de observação
- Pesquisa de vistas: Integração de operações de segurança - Capacidade de pesquisa de vistas
- Pesquisa de ameaças: Integração de operações de segurança - Recurso de pesquisa de ameaças
Como os domínios de locatário gerenciam seus dados de aplicação próprios
- Os proprietários do domínio do locatário criam suas próprias regras de análise de e-mail para ingerir incidentes de segurança.
- Os proprietários do domínio do locatário podem configurar integrações específicas exclusivamente para uso no domínio.
- Os proprietários do domínio do locatário podem criar seus próprios fluxos de trabalho de resposta a incidentes.
- Os proprietários do domínio do locatário podem criar suas próprias categorias de incidentes, artigos da base de conhecimento de resposta a incidentes e runbooks a serem associados a fluxos de trabalho de resposta a incidentes.
- Os usuários do domínio do locatário criam e encerram seus próprios incidentes de segurança.
Lógica de negócios e processos que podem ser separados por domínio pelo proprietário da instância
- Resposta a incidentes de segurança usuários e grupos
- Resposta a incidentes de segurança Integrações (a partir da versão Madrid)
- Regras de análise de e-mail para criação de incidente
- Regras de negócios para consolidar vários eventos ou alertas em um incidente de segurança
- Fluxos de trabalho para orquestração de resposta a incidentes
- Calculadoras de pontuação de risco de incidente de segurança
- Caminho de escalação de incidente de segurança
- ANS de incidente de segurança
- Definições de processo de incidente de segurança
- Processos de revisão pós-incidente de segurança