Définir le mappage de la source de données et de l’outil de détection

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Définissez le mappage de la source de données et de l’outil de détection pour MITRE-ATT&CK les tactiques et les techniques. Le mappage des sources de données vous donne un aperçu de la pertinence et de la disponibilité des sources de données et des outils de détection pour surveiller les sources de données dans votre environnement.

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : écriture, suppression d’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    Vous pouvez identifier les sources de données et les outils de détection dont votre organisation a besoin pour détecter efficacement les techniques.

    Par exemple, si votre organisation se concentre sur 5 techniques, vous aurez peut-être besoin de 10 sources de données et de 10 outils de détection pour surveiller ces sources. Supposons que vous identifiiez que votre organisation ne dispose pas de deux sources de données et de cinq outils de détection. Cet exercice vous donne une visibilité sur les sources de données, leur pertinence pour votre organisation et vous permet d’identifier les lacunes dans la couverture. Vous pouvez également vous concentrer sur l’amélioration de votre environnement avec les bonnes sources de données et les bons outils de détection.

    Toutes les tactiques, techniques, ID et sources de données actives sont automatiquement renseignés en fonction de votre TAXII Profil

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Administration MITRE ATT&CK > Mappage de source de données.

      L’illustration suivante montre la liste des tactiques, des techniques et de leurs ID qui ont été renseignées en fonction des mises à jour de votre collection.

      Mappez les sources de données.

      Champ Description
      Tactique Objectif de l’adversaire ou motif de l’action.
      ID L’identité unique de la technique.
      Technique Comment un adversaire atteint un objectif tactique en effectuant une action.
      Source de données Source de données associée à la technique.
      Source de données révoquée La source de données est révoquée si elle est définie sur vrai, mais le mappage de source de données est toujours conservé.

      Si la valeur de la source de données est introuvable dans MITRE, la valeur Source de données révoquée est automatiquement marquée comme vraie. Le mappage de source de données pour un enregistrement est révoqué si la technique et les relations de source de données sont manquantes dans les données mises à jour MITRE .

      Valeur par défaut : false
      Source de données disponible Disponibilité de la source de données.
      Outil de détection Outil qui complète la source de données en détectant les techniques utilisées. L’outil de détection est mappé avec le capteur d’alerte dans SIR.
      Révoqué Le mappage de source de données pour un enregistrement est révoqué si la technique et les relations de source de données sont manquantes dans les données mises à jour MITRE .

      Valeur par défaut : false
    2. Examinez les sources de données répertoriées et modifiez la valeur dans le champ Source de données disponible en fonction de votre environnement.
    3. Remarque :
      Vous ne pouvez pas modifier cette entrée à partir de la vue de liste.
      Dans le champ Outil de détection , procédez comme suit :
      1. Cliquez sur l’icône d’information, puis cliquez sur Ouvrir l’enregistrement.
      2. Déverrouiller l’entrée de l’outil de détection .
      3. Utilisez la liste de recherche pour sélectionner un outil de détection. Vous pouvez sélectionner plusieurs outils de détection.
      4. Cliquez sur Mettre à jour.

      Dans l’illustration suivante, plusieurs outils de détection sont ajoutés pour surveiller la source de données.

      Comment mapper l’outil de détection.