Richten Sie das -Framework MITRE-ATT&CK ein

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Aktivieren Sie das Profil MITRE-ATT&CK, und richten Sie eine regelmäßige Aufgabe ein, damit Sie MITRE-ATT&CK -Sammlungen für die Bedrohungserkennung in Ihrer Organisation einrichten können.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Der Ausdruck für strukturierte Bedrohungsinformationen (STIX™) ist eine Sprache zur standardisierten und strukturierten Beschreibung von Cyberbedrohungsinformationen. Mithilfe von STIX-Daten und Profilen für den vertrauenswürdigen automatisierten Austausch von Indikatorinformationen (TAXII™) können Sicherheitsteams gemeinsam genutzte Cyberbedrohungsinformationen verwenden, um Bedrohungen zu isolieren, die zuvor von Ihrem Unternehmen und anderen Quellen identifiziert wurden.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > TAXII-Profilean.
      Sie sehen die verfügbaren Profile TAXII.
    2. Klicken Sie auf das MITRE ATT&CK -Profil, das mit dem Basissystem bereitgestellt wird.

      Threat Intelligence: MITRE ATT&CK-Profil.
    3. Um die TAXII -Sammlung zu aktivieren, legen Sie die Option Aktiv für die TAXII -Sammlung, die für Ihre Organisation relevant ist (Enterprise ATT&CK, Mobile ATT&CK oder ICS ATT&CK) auf wahr fest.
      TAXII-Sammlung Beschreibung
      Enterprise ATT&CK Beschreibt die Verhaltensweisen und Aktionen eines Angreifers, um ein Unternehmensnetzwerk und eine Cloud zu kompromittieren und zu operieren.
      Hinweis:
      Die Pre-ATT&CK-Matrix wurde von MITRE als veraltet markiert und wird mit der Enterprise-Matrix zusammengeführt.
      Mobile ATT&CK Beschreibt die Verhaltensweisen und Aktionen des Angreifers, die sich auf Mobilgeräte konzentrieren.
      ICS ATT&CK Beschreibt die Aktionen, die ein Angreifer während des Betriebs in einem ICS-Netzwerk (Industrial Control Systems) ausführt.
    4. Um die Sammlung regelmäßig zu aktualisieren, legen Sie die Option Ausführen entsprechend Ihrer Organisation fest.
      Standardmäßig ist diese Option auf Bei Bedarf festgelegt.
      Hinweis:
      1. Sammlungen werden als Teil des Plugins Threat Intelligence Core paketiert. Durch Installieren oder Aktualisieren von Threat Intelligence Support Common – Version 12.0 oder höher und Threat Intelligence – Version 12.0 oder höher stellen Sie sicher, dass Ihre Sammlungsdaten automatisch gefüllt werden.
      2. Aktivieren Sie die Sammlung TAXII nur für die Sammlung, die Sie in Ihrer Organisation verwenden möchten, und deaktivieren Sie die anderen Sammlungen. Wenn Sie beispielsweise die Enterprise ATT&CK-Matrix verwenden möchten, aktivieren Sie Enterprise ATT&CK auf der Sammlungsebene TAXII und auf der Ebene der Matrizen. Deaktivieren Sie die anderen Mobile ATT&CK- und ICS ATT&CK-Matrizen in der Sammlung TAXII und auf Matrizenebene.
      3. Wenn Sie in den zugehörigen Listen TAXII Sammlungen die Option Ausführen auf Täglich auswählen, tritt ein Fehler auf, und die Option wird standardmäßig auf Bei Bedarf festgelegt. Dieser Fehler tritt auf, da die Planung der täglichen Aktualisierung von Daten MITRE-ATT&CK eingeschränkt ist, um die Last auf den Servern MITRE zu optimieren. Außerdem aktualisiert MITRE die ATT&CK-Daten nur zweimal pro Jahr.
      4. Die TAXII -Sammlungen werden nur aktualisiert, wenn Sie die TAXII -Sammlung aktivieren.
      5. Aktualisierungen vorhandener Sammlungen können vom Server MITRE abgerufen werden, indem die Ausführungshäufigkeit in jeder Sammlung geplant wird.
      6. Die Anpassungen, die Sie an den Repository-Daten MITRE-ATT&CK (Malware-, Gruppen-, Verringerungs- und Tool-Objekte für eine Technik) vornehmen, werden während geplanten Updates gespeichert.
      7. MITRE aktualisiert die Knowledge Base MITRE-ATT&CK, in der einige Objekte als widerrufen oder veraltet gekennzeichnet, neue Objekte hinzugefügt oder vorhandene Objekte geändert werden. Wenn MITRE eine Taktik oder Technik widerruft, werden diese Objekte im Now Platformals widerrufen markiert. Die widerrufenen Objekte werden im Repository beibehalten, können jedoch nicht in Now Platformverwendet werden.

    Nächste Maßnahme

    Nach Abschluss des TAXII-Profil-Setups werden die Repository-Daten MITRE-ATT&CK in regelmäßigen Abständen in Now Platform®importiert. Sie können diese Daten anzeigen, indem Sie zu navigieren MITRE ATT&CK-Repository > Matrizen und MITRE ATT&CK-Repository > Technikenan.