MITRE-ATT&CK 情報の観測事象への関連付け

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • セキュリティインシデントと脅威を詳細なレベルで分析できるように、MITRE-ATT&CK の戦術とテクニックを観測事象に関連付けます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    一部の SIEM は、イベント、アラート、または観測事象とともに MITRE-ATT&CK 情報を提供します。MITRE-ATT&CK 情報を詳細なレベルで関連付けるには、情報を観測事象に追加します。

    観測事象からセキュリティインシデントに MITRE-ATT&CK 情報を自動的にロールアップするように選択できます。観測事象をセキュリティインシデントに自動的にロールアップするには、システムプロパティを有効にします。または、観測事象ごとに情報を手動でロールアップすることもできます。

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. MITRE-ATT&CK 情報で拡張するセキュリティインシデントを選択します。
    3. [すべての関連リストを表示][関連する観測事象 (Associated Observables)] タブをクリックします。
    4. 関連付ける観測事象をポイントし、右クリックして、[MITRE ATT&CK テクニックの関連付け (Associate MITRE ATT&CK Technique)] を選択します。

      次の図では、関連リストから [MITRE ATT&CK テクニックの関連付け (Associate MITRE ATT&CK Technique)] に移動して、ソースを確認し、戦術とテクニックを追加する方法を示しています。

      MITRE ATT&CK 情報を観測事象に関連付ける
    5. ソースリストで、[ソース] を確認します。
      注:
      アクティブ化されたコレクションマトリクスのみがソースリストに表示されます。
    6. [戦術][テクニック] を確認し、観測事象との関連性に基づいて追加または削除します。
    7. [保存] をクリックします。
      追加した戦術とテクニックは、[観測事象] 関連リストの MITRE-ATT&CK 情報列に表示されます。
    8. 観測事象を選択し、[アクション] メニューから [MITRE ATT&CK 情報を SI にロールアップ] をクリックします。
      有効にしている場合 の自動ロールアップ MITRE-ATT&CK 観測事象からセキュリティインシデントへの情報の場合、情報は自動的にロールアップされます。自動ロールアップを有効にしていない場合は、手動で行う必要があります。

      次の図は、観測事象を選択して MITRE-ATT&CK 情報をセキュリティインシデントにロールアップする方法を示しています。

      観測事象からセキュリティインシデントに MITER ATT&CK 情報を自動的にロールアップします。
    9. 観測事象に関連付けられているテクニックの集計ビューを表示するには、リストから 2 つ以上の観測事象を選択し、選択した行リストの [アクション] メニューから [MITRE ATT&CK 情報] をクリックします。

    タスクの結果

    選択した観測事象の MITRE ATT&CK 情報の集計ビューが表示されます。