Executar análise de link e caça a ameaças usando MITRE-ATT&CK filtros específicos

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Correlacione e execute a análise de link de observáveis, incidentes de segurança e MITRE-ATT&CK informações relacionadas para que sua organização possa começar a procurar ameaças.

    Antes de Iniciar

    Função necessária: sn_ti.mitre_analyst, sn_si.read

    Por Que e Quando Desempenhar Esta Tarefa

    Depois de associar os incidentes de segurança às informações MITRE-ATT&CK, você pode usar os filtros específicos MITRE-ATT&CK para caçar ameaças. Use os filtros MITRE-ATT&CK com os filtros Security Incident Response existentes para correlacionar e executar a análise de link.

    Procedimento

    1. Navegar até Todos > Incidentes de segurança > Mostrar todos os incidentes.
    2. Clique em Atualizar lista personalizada para adicionar as MITRE colunas.
    3. Selecione uma condição de filtro para que você possa exibir MITRE informações e associações relacionadas a incidentes ou observáveis de segurança:
      • MITRE-ATT&CK Grupo adversário
      • MITRE-ATT&CK Fonte de dados
      • MITRE-ATT&CK Procedimento (malware)
      • MITRE-ATT&CK Procedimento (ferramentas)
      • MITRE-ATT&CK Tática
      • MITRE-ATT&CK Técnica
    4. Crie uma condição de filtro com base nos critérios acima e clique em Executar para executar uma análise de link ou correlação entre incidentes de segurança, observáveis e MITRE-ATT&CK informações relacionadas.
      Nota:
      Os dados MITRE-ATT&CK são armazenados como uma cadeia de caracteres e você só pode usar contém como o operador para condições de filtro.

      Por exemplo, se você quiser revisar se um item de configuração (IC) está comprometido, selecione um IC. Em seguida, você correlaciona o IC com as técnicas que estão presentes adicionando um MITRE-ATT&CK ID de técnica. Você pode continuar a criar seus critérios de filtro para correlacionar as informações e para a detecção de ameaças.

      Condições de filtro MITRE para análise de ameaças.