Associado MITRE-ATT&CK informações com incidentes de segurança

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 3 min. de leitura

    • Associe o. MITRE-ATT&CK táticas e técnicas para o incidente de segurança para melhorar a análise de incidentes de segurança e ameaças.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Adicione o. MITRE-ATT&CK informações de táticas e técnicas ao incidente de segurança para que você possa correlacionar seu incidente de segurança e informações de ameaça para uma melhor análise. Por exemplo, sua empresa pode estar recebendo informações relacionadas a táticas, técnicas e procedimentos (TTP) de suas fontes de terceiros, como Inteligência contra ameaças relatórios ou outras fontes fora do Resposta a incidentes de segurança. Em seguida, adicione essas informações de volta a SIR para melhor correlação e análise de ameaças.

    Você pode optar por acumular o. MITRE-ATT&CK informações automaticamente dos resultados de extração automática da pesquisa de ameaças, de observáveis ou de um incidente de segurança secundário a um incidente de segurança. Para acúmulo automático para incidentes de segurança, habilite a propriedade do sistema . Como alternativa, você pode acumular as informações manualmente para cada pesquisa de ameaça individual ou observável .

    Procedimento

    1. Navegar até Tudo > Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja aprimorar com MITRE-ATT&CK informações.
    3. Clique em Associe a técnica MITRE ATT&CK link relacionado.
      O painel Associar técnica MITRE ATT&CK é exibido.

      Esta ilustração mostra como navegar até a lista relacionada e procurar Associado MITRE-ATT&CK Técnica, revise o Enterprise ATT&CK de origem, adicione um impacto de tática e adicione uma técnica Desligamento/reinicialização do sistema.

    4. Selecione Origem .
      Nota:
      Apenas o. coleções e. matrizes que foram ativados aparecem na lista de origens.
      As táticas e técnicas associadas à origem estão disponíveis para seleção. Você também pode associar várias origens.
    5. Selecione Tática e. Técnicas .
    6. Opcional: Revise as informações com base na relevância com o incidente de segurança e faça o seguinte:
      • Para remover completamente a associação, clique no ícone de lixeira. Clicar neste ícone exclui a origem e suas táticas e técnicas associadas.
      • Para remover uma tática, clique no ícone de menos ao lado da tática.
      • Para remover uma técnica, clique no ícone x ao lado da técnica.
    7. Clique em Salvar.

    Resultado

    . MITRE-ATT&CK as informações estão associadas ao incidente de segurança. Agora você pode exibir as informações associadas no CARTÃO MITRE ATT&CK .

    Associado MITRE-ATT&CK informações com incidentes de segurança encerrados

    Agora você pode associar MITRE-ATT&CK táticas e técnicas para os incidentes de segurança encerrados para uma melhor análise de incidentes de segurança e ameaças.

    Usando o. MITRE-ATT&CK Cartão para ver informações relacionadas em um incidente de segurança

    Você pode usar MITRE-ATT&CK para ver MITRE-ATT&CK informações relacionadas em um incidente de segurança.

    Depois que as informações são acumuladas de uma pesquisa de ameaças, um observável ou uma integração DE SIEM, elas são adicionadas ao incidente de segurança. Em seguida, as informações agregadas são apresentadas no MITRE-ATT&CK Cartão. . CARTÃO MITRE ATT&CK fornece duas exibições:

    • Exibição do navegador: Esta exibição, que é semelhante a MITRE-ATT&CK navegador, mostra todas as técnicas que foram adicionadas manualmente ou acumuladas das tabelas de observável ou de pesquisa de ameaças. Mostrar origem das técnicas Exibe a origem da técnica se ela tiver sido acumulada manualmente ou por meio de uma Origem. Mostrar ID Exibe o ID da técnica.

      A ilustração a seguir mostra como navegar até CARTÃO MITRE ATT&CK exibição do navegador. Ao clicar em qualquer um dos links disponíveis, as informações são abertas no Inteligência contra ameaças módulo.

    • Exibição de lista: Esta exibição mostra os dados em um formato de lista ou tabela. Você pode ver todos os dados distribuídos em diferentes tabelas e grupos nesta exibição.

      A ilustração a seguir mostra como navegar até a exibição de lista do MITRE ATT&CK Card. Ao clicar em qualquer um dos links disponíveis, as informações são abertas no Inteligência contra ameaças módulo.