Führen Sie Linkanalysen und Bedrohungssuche mit MITRE-ATT&CK -spezifischen Filtern durch

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Korrelieren Sie erkennbare Elemente, Security Incidents und MITRE-ATT&CK -bezogene Informationen, und führen Sie Linkanalysen für diese durch, damit Ihre Organisation nach Bedrohungen suchen kann.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.mitre_analyst, sn_si.read

    Warum und wann dieser Vorgang ausgeführt wird

    Nachdem Sie die Security Incidents den Informationen MITRE-ATT&CK zugeordnet haben, können Sie die spezifischen Filter für MITRE-ATT&CK für die Bedrohungssuche verwenden. Verwenden Sie die Filter MITRE-ATT&CK mit den vorhandenen Filtern Security Incident Response, um zu korrelieren und Linkanalysen durchzuführen.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigenan.
    2. Klicken Sie auf Personalisierte Liste aktualisieren, um die Spalten MITRE hinzuzufügen.
    3. Wählen Sie eine Filterbedingung aus, damit Sie MITRE -bezogene Informationen und Zuordnungen zu Security Incidents oder erkennbaren Elementen anzeigen können:
      • MITRE-ATT&CK Angreifergruppe
      • MITRE-ATT&CK Datenquelle
      • MITRE-ATT&CK Eingriff (Malware)
      • MITRE-ATT&CK Vorgehensweise (Tools)
      • MITRE-ATT&CK Taktik
      • MITRE-ATT&CK Technik
    4. Erstellen Sie eine Filterbedingung, die auf den obigen Kriterien basiert, und klicken Sie auf Ausführen, um eine Linkanalyse oder Korrelation zwischen Security Incidents, erkennbaren Elementen und MITRE-ATT&CK -bezogenen Informationen durchzuführen.
      Hinweis:
      Die Daten MITRE-ATT&CK werden als Zeichenfolge gespeichert, und Sie können nur „ enthält “ als Operator für Filterbedingungen verwenden.

      Wenn Sie beispielsweise überprüfen möchten, ob ein Configuration Item (CI) gefährdet ist, wählen Sie ein CI aus. Anschließend korrelieren Sie das CI mit den vorhandenen Techniken, indem Sie eine MITRE-ATT&CK Technik-ID hinzufügen. Anschließend können Sie mit dem Erstellen Ihrer Filterkriterien zur Korrelation der Informationen und für die Bedrohungssuche fortfahren.

      MITRE-Filterbedingungen für die Bedrohungsanalyse.