データソースと検出ツールのマッピングの定義
MITRE-ATT&CK 戦術およびテクニックのデータソースと検出ツールのマッピングを定義します。データソースマッピングは、データソースの関連性と可用性、および環境内のデータソースを監視するための検出ツールを提供します。
始める前に
必要なロール:
- sn_ti.admin、sn_si.admin:書き込み、削除アクセス
- sn_ti.read:読み取りアクセス
このタスクについて
組織がテクニックを効果的に検出するために必要なデータソースと検出ツールを特定できます。
たとえば、組織が 5 つのテクニックに重点を置いている場合、それらのソースを監視するために 10 個のデータソースと 10 個の検出ツールが必要です。組織に 2 つのデータソースと 5 つの検出ツールがないことが判明したとします。この演習では、データソースを可視化し、組織との関連性を把握して、対象範囲内のギャップを特定できます。適切なデータソースと検出ツールを使用して、環境の拡張に集中することもできます。
すべてのアクティブな戦術、テクニック、ID、およびデータソースは、以下に基づいて自動的に入力されます TAXII プロファイル手順
-
移動先 .
次の図は、コレクションの更新に基づいて入力された戦術、テクニック、およびそれらの ID のリストを示しています。
フィールド 説明 戦術 アクションを実行するための攻撃者の目標または理由 ID テクニックの一意の ID。 テクニック テクニックは、攻撃者がアクションを実行して戦術的目標を達成する方法を表します。 データソース テクニックに関連付けられているデータソース。 データソースが取り消されました true に設定すると、データソースは取り消されますが、データソースマッピングは保持されます。 データソース値が MITREで見つからない場合、[データソースが取り消されました] の値は自動的に true とマークされます。更新された MITRE データにテクニックとデータソースの関係がない場合、レコードのデータソースマッピングは取り消されます。
デフォルト値:false
利用可能なデータソース データソースの可用性。 検出ツール 使用されているテクニックを検出することによってデータソースを補足するツール。検出ツールは、SIR のアラートセンサーとマッピングされます。 取り消し済み 更新された MITRE データにテクニックとデータソースの関係がない場合、レコードのデータソースマッピングは取り消されます。 デフォルト値:false
-
注:[検出ツール] フィールドで、次の手順を実行します。リストビューからこのエントリーを編集することはできません。
- 情報アイコンをクリックして、[レコードを開く] をクリックします。
- [検出ツール] エントリーのロックを解除します。
- ルックアップリストを使用して検出ツールを選択します。検出ツールは複数選択できます。
- [更新] をクリックします。
次の図では、データソースを監視するために複数の検出ツールが追加されています。