Définir le mappage de la source de données et du composant de données

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Utilisez le mappage des composants de données si vous utilisez les dernières TAXII collections et que vous souhaitez conserver une relation entre les sources de données, les composants de données et les différentes techniques. Mappez les sources de données avec le contexte supplémentaire des composants de données, qui fournit une sous-couche supplémentaire de contexte aux sources de données afin de mieux comprendre les comportements des adversaires MITRE-ATT&CK .

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : écriture, suppression d’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    Le mappage des sources de données et des composants de données offre une visibilité sur les sources de données ou les composants et les techniques pertinentes pour votre organisation.

    Par exemple, si votre organisation se concentre sur 7 techniques, vous aurez peut-être besoin de 5 sources de données et de 10 composants de données pour surveiller ces sources. Votre évaluation des outils internes révèle que votre organisation ne dispose pas de deux sources de données et de quatre composants de données. Cet exercice de mappage fournit une visibilité sur les sources de données, les composants et les techniques, leur pertinence pour votre organisation et permet d’identifier les lacunes dans la couverture. Vous pouvez ainsi concentrer votre investissement sur les bonnes sources de données et les bons capteurs d’alerte pour détecter et atténuer les menaces adverses.

    Le MITRE-ATT&CK cadre de travail contient une structure mise à jour pour les sources de données - Source de données : composant de données. Cette nouvelle forme de source de données fournit un contexte supplémentaire aux sources de données. L’objet source de données comporte le nom de la source de données ainsi que des détails clés sur les données collectées (fichier, processus, trafic réseau, etc.) et des valeurs ou propriétés spécifiques requises pour détecter les comportements des adversaires.

    L’illustration suivante montre la représentation de la structure des sources de données et des MITRE-ATT&CK STIX™ composants de données. Vous pouvez afficher à la fois les sources de données et les composants de données capturés en tant qu’objets personnalisés STIX™ . L’illustration montre que chaque source de données contient un ou plusieurs composants de données, et que chaque composant de données détecte une ou plusieurs techniques.

    Figure 1. Structure générale des sources de données et des composants de données
    Cette image montre la structure générale des sources de données et des composants de données.

    Vous pouvez continuer à utiliser le mappage de source de données si votre MITRE-ATT&CK référentiel contient les anciennes TAXII collections et que vous avez mappé vos sources de données à diverses techniques. Toutefois, utilisez le mappage des composants de données si vous utilisez les dernières TAXII collections et que vous souhaitez conserver une relation entre les sources de données, les composants de données et les différentes techniques.

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Administration MITRE ATT&CK > Mappage des composants de données.
      L’illustration suivante montre la liste des tactiques, des ID et des techniques, ainsi que les sources de données et les composants de données en fonction des mises à jour de votre collection.L’illustration suivante montre la liste des tactiques, des techniques, des ID, ainsi que les sources de données et les composants de données qui ont été renseignés en fonction des mises à jour de votre collection.
      Champ Description
      Tactique Objectif de l’adversaire ou motif de l’action.
      ID L’identité unique de la technique.
      Technique Comment un adversaire atteint un objectif tactique en effectuant une action.
      Source de données Source de données associée à la technique.
      Composant de données Composant de données associé à la source de données. Un composant de données ne peut avoir qu’une seule source de données parente.
      Composant de données révoqué Identifie si le composant de données a été révoqué dans la MITRE-ATT&CK base de connaissances.
      Outil de détection Outil qui complète la source de données en détectant les techniques utilisées. L’outil de détection est mappé avec le capteur d’alerte dans SIR.
      Commentaire Description du mappage de la source de données et des composants de données.
      Révoqué Identifie si le mappage du composant de données à la technique est révoqué par MITRE-ATT&CK.
    2. Passez en revue les sources de données et les composants de données répertoriés et modifiez les valeurs en fonction de votre environnement.
    3. Pour ajouter un composant de données, procédez comme suit.
      1. Accédez à la Renseignements sur les menaces > Administration MITRE ATT&CK > Techniques.
      2. Cliquez sur une technique dont vous souhaitez modifier la source de données : informations sur le composant de données.
      3. Déverrouiller la source de données : composant de données.
      4. Utilisez la liste de recherche pour sélectionner MITRE-ATT&CK des composants de données.
      5. Verrouiller la source de données : composant de données.
      6. Cliquez sur Mettre à jour.
      Dans l’illustration suivante, vous voyez comment ajouter des composants de données.Cette illustration montre comment mapper des composants de source de données à une technique.