Configurer le MITRE-ATT&CK cadre de travail

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Activez le profil et configurez une tâche planifiée afin de pouvoir configurer MITRE-ATT&CK des collections pour la MITRE-ATT&CK détection des menaces dans votre organisation.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Pourquoi et quand exécuter cette tâche

    L’expression structurée d’informations sur les menaces (STIX™) est un langage permettant de décrire les informations sur les cybermenaces de manière normalisée et structurée. À l’aide des données STIX et des profils d’échange automatisé fiable d’informations d’indicateur (TAXII™), les équipes de sécurité peuvent utiliser les informations partagées sur les cybermenaces pour isoler les menaces précédemment identifiées par votre entreprise et provenant d’autres sources.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Sources > Profils TAXII.
      Vous voyez les profils disponibles TAXII .
    2. Cliquez sur le profil MITRE ATT&CK fourni avec le système de base.

      Renseignements sur les menaces : profil MITRE ATT&CK.
    3. Pour activer la TAXII collection, définissez l’option Actif sur vrai pour la TAXII collection pertinente pour votre organisation (Enterprise ATT&CK, Mobile ATT&CK ou ICS ATT&CK).
      Collecte TAXII Description
      ATT&CK d’entreprise Décrit les comportements et les actions qu’un adversaire entreprend pour compromettre et opérer dans un réseau d’entreprise et dans le cloud.
      Remarque :
      La matrice pré-ATT&CK a été déconseillée par MITRE la matrice Enterprise et a été fusionnée avec elle.
      ATT&CK mobile Décrit les comportements et les actions des adversaires qui se concentrent sur les équipements mobiles.
      ICS ATT&CK Décrit les actions qu’un adversaire entreprend lorsqu’il opère au sein d’un réseau de systèmes de contrôle industriel (ICS).
    4. Pour actualiser périodiquement la collection, définissez l’option Exécuter selon les besoins de votre organisation.
      Par défaut, cette option est définie sur Sur demande.
      Remarque :
      1. Les collections sont regroupées dans le cadre du module d’extension Renseignements sur les menaces Core. L’installation ou la mise à jour de Threat Intelligence Support Common (version 12.0 ou supérieure) et de Threat Intelligence (version 12.0 ou supérieure) garantit que les données de vos collections sont remplies automatiquement.
      2. Activez la TAXII collection uniquement pour la collection que vous avez l’intention d’utiliser dans votre organisation et désactivez les autres collections. Par exemple, si vous avez l’intention d’utiliser la matrice Enterprise ATT&CK, activez Enterprise ATT&CK au niveau de la TAXII collection et au niveau des matrices . Désactivez les autres matrices ATT&CK et ICS ATT&CK Mobile à la TAXII collection et au niveau des matrices.
      3. Dans les TAXII listes connexes Collections, si vous sélectionnez l’option Exécuter quotidiennement, une erreur se produit et l’option est définie par défaut sur Sur demande. Cette erreur se produit car la programmation quotidienne de l’actualisation MITRE-ATT&CK des données est restreinte afin d’optimiser la charge sur les MITRE serveurs. De plus, MITRE les données ATT&CK ne sont mises à jour que deux fois par an.
      4. Les TAXII collections ne sont pas actualisées à moins que vous n’activiez la TAXII collection.
      5. Les mises à jour des collections existantes peuvent être récupérées à partir du MITRE serveur en programmant la fréquence d’exécution dans chaque collection.
      6. Les personnalisations que vous apportez aux données du MITRE-ATT&CK référentiel (objets Programme malveillant, Groupe, Atténuation et Outil d’une technique) sont enregistrées lors des mises à jour planifiées.
      7. MITRE Met à jour la MITRE-ATT&CK base de connaissances dans laquelle certains objets sont identifiés comme révoqués ou obsolètes, de nouveaux objets sont ajoutés ou des objets existants sont modifiés. S’il MITRE révoque une tactique ou une technique, ces objets sont marqués comme révoqués dans le .ServiceNow AI Platform Les objets révoqués sont conservés dans le référentiel mais ne peuvent pas être utilisés dans le ServiceNow AI Platform.

    Que faire ensuite

    Une fois la configuration du profil TAXII terminée, les données du MITRE-ATT&CK référentiel sont importées à intervalles réguliers dans le ServiceNow AI Platform®. Vous pouvez voir ces données en accédant à Référentiel MITRE ATT&CK > Matrices et Référentiel MITRE ATT&CK > Techniques.