Afficher les techniques MITRE ATT&CK pour les observables/objets

• Les règles d’extraction pour les sources de données (les recherches de menaces ne sont pas applicables) sont traitées chaque fois qu’un enregistrement source d’entité (par exemple, source observable ou source objet) est créé.
• Les règles s’appliquent à tous les champs de l’enregistrement source de l’entité (à l’exception des champs de date, de nombre, de catégorie d’utilisation et des phases d’attaque).
• Les techniques MITRE extraites sont associées à l’enregistrement d’entité correspondant et vous affichez les enregistrements dans la liste connexe des techniques MITRE dans l’onglet Enregistrements connexes .
  Remarque :

  Les techniques MITRE sont d’abord extraites et associées à l’enregistrement source de l’entité, puis les associations de techniques sont dédupliquées et agrégées à l’enregistrement d’entité parent.

Pour afficher les techniques pour les observables et les objets :

1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Bibliothèque de Renseignements sur les menaces > Observables
2. Sélectionnez n’importe quel enregistrement d’observable.
3. Accédez à l’onglet Enregistrements connexes .
4. Sélectionnez la section Techniques MITRE pour afficher les techniques MITRE ATT&CK EXTRAITES.
5. Cliquez sur l’ID de la technique MITRE pour afficher l’enregistrement d’association de la technique MITRE. La colonne Sources affiche toutes les sources (séparées par une virgule s’il existe une ou plusieurs sources) qui sont associées à l’enregistrement source de l’entité sur lequel l’extraction MITRE est effectuée.
   Remarque :

   Si les mêmes ID de tactiques et de techniques sont extraits de plusieurs sources, un seul enregistrement d’association de tactiques et de techniques s’affiche et la colonne Sources affiche toutes les sources extraites.
6. Pour le dépannage, vous pouvez afficher la règle d’extraction MITRE qui était responsable de l’extraction des associations de tactiques et de techniques en accédant aux relations sources de la technique.
   Remarque :

   Assurez-vous d’ajouter la colonne Règle d’extraction à l’aide de l’icône Actions de la liste au cas où vous ne verriez pas la colonne Règle d’extraction.

Les règles d’extraction pour les recherches de menaces ou l’enrichissement des observables sont traitées chaque fois que le résultat de l’enrichissement de l’observable de la recherche de menace ou l’enregistrement d’enrichissement de l’observable est créé pour tout observable pour lequel l’action Exécuter la recherche de menace ou Exécuter l’enrichissement de l’observable est déclenchée et l’extraction est effectuée uniquement sur la charge utile des données brutes (champ raw_data), qui est disponible dans le résultat de la recherche de menace ou l’enregistrement d’enrichissement de l’observable.

Voir les techniques MITRE ATT&CK pour les flux RSS

• Chaque fois qu’un enregistrement de flux RSS est créé ou mis à jour, les règles d’extraction technique MITRE ATT&CK sont traitées.
• Les règles s’appliquent à tous les champs de l’enregistrement du flux RSS (à l’exception des champs de date, de numéro et de phases d’attaque).
• Les techniques MITRE extraites sont associées à l’enregistrement de flux RSS correspondant et vous pouvez afficher ces enregistrements dans la liste des enregistrements connexes des techniques MITRE dans la section Enregistrements connexes .

1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Bibliothèque de Renseignements sur les menaces > Flux RSS > Tous les flux RSS
2. Sélectionnez n’importe quel enregistrement de flux RSS.
3. Accédez à l’onglet Enregistrements connexes .
4. Sélectionnez Techniques MITRE pour afficher les techniques MITRE ATT&CK extraites.
5. Cliquez sur l’ID de la technique MITRE pour afficher l’enregistrement d’association de la technique MITRE.
6. Pour le dépannage, vous pouvez afficher la règle d’extraction MITRE qui était responsable de l’extraction des associations de tactiques et de techniques.