調査キャンバス MITRE フィルター

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • MITRE フィルターを使用すると、特定の攻撃者やその他の MITRE テクニック属性に関連付けられた戦術、テクニック、手順 (TTP) のフィルターを作成および保存できます。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    このタスクについて

    アナリストは、MITRE カードで利用可能なフィルターを使用して、調査に関与する攻撃者に関連する特定のアクター TTP をフィルタリングできます。

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. [脅威アナリストワークベンチ (Threat Analyst Workbench)] アイコンを選択します。
    3. 検索項目 ケース管理 > すべてのケース.
    4. 任意のケースをオープンします。
    5. [調査キャンバス] タブに移動します。
    6. [フィルター] を選択して、特定の攻撃者およびその他の MITRE テクニック属性に関連付けられた戦術、テクニック、手順 (TTP) のフィルターを作成します。
    7. フィルターパネルに必要な値を入力して、目的のフィルターを適用します。
      [MITRE フィルター] パネルを使用すると、グループ、マルウェア、ツール、タグ、優先度などの選択した基準に基づいて MITRE ATT&CK テクニックをフィルタリングおよび可視化できます。
      フィールド 説明
      保存したフィルター アナリストは、特定の基準を 保存済みフィルター として保存して再利用できます。アナリストが保存するフィルターはユーザー固有です。
      注:
      たとえば、アナリストXがフィルター構成を保存した場合、アナリストXにのみ表示されます。別のアナリストがログインしてフィルタードロップダウンを表示すると、他のユーザーが保存したフィルターは表示されません。

      これにより、各ユーザーは、他のユーザーのフィルター設定に影響を与えたり影響を受けたりすることなく、カスタマイズされたビューを作成および管理できます。
      フィルター名 フィルターの名前。
      MITRE グループ MITRE グループを示します。1 つ以上のグループを選択して、それらに関連付けられたテクニックをフィルタリングします。
      MITRE マルウェア MITRE マルウェアを示します。1 つ以上のマルウェアアイテムを選択して、それらに関連付けられたテクニックをフィルタリングします。
      MITRE ツール MITRE ツールを示します。1 つ以上のツールを選択して、それらに関連付けられたテクニックをフィルタリングします。
      TISC タグ TISCタグを示します。1 つ以上のタグを選択し、分類に基づいてテクニックをフィルタリングします。
      テクニックの優先度 テクニックの優先度レベルを示します。1 つ以上のオプションを選択し、割り当てられた優先度に基づいてテクニックをフィルタリングできます。
      すべてクリア フィルターパネルに入力された入力をクリアできます。
      新しいフィルターとして保存 フィルターパネルに入力された基準を、新しい保存されたフィルターとして保存します。
      注:
      保存されるフィルター名は一意である必要があります。
      現在のフィルターを保存 現在選択されている保存済みフィルターの基準への変更を保存します。
      このオプションを使用して、フィルターの名前を変更することもできます。
      注:
      保存されるフィルター名は一意である必要があります。
      適用 このオプションを使用すると、MITRE カードのフィルターに変更を適用できます。
      削除 選択した保存済みフィルターを削除するには、このオプションを選択します。

      保存したフィルターの横にある [削除 ] ボタンをクリックすると、このフィルターを削除するかどうかを確認するメッセージが表示されます。このアクションを確認すると、保存済みのフィルターが完全に削除されます。

      フィルターパネル内の個々のフィールド値を削除するには、その特定のフィールドの横にある [削除] (ゴミ箱) アイコンをクリックします。

      これらの値を使用してフィルターを適用すると、MITRE マトリクスが動的に更新され、選択した属性に関連付けられたテクニックのみが表示されます。この焦点を絞ったビューにより、アナリストは調査中に最も関連性の高い戦術、テクニック、手順 (TTP) に集中できます。

      さらに、アナリストは、マルウェア、ツール、タグ、および優先度レベルのフィルターを使用して、TTPをさらに絞り込むことができます。

      MITRE フィルター

    8. オプション: [ 新しいフィルターとして保存 ] を選択して、フィルター基準を保存します。
    9. [ 適用 ] を選択して変更を適用します。

    MITRE グループによるフィルタリング

    MITRE グループを APT32 として選択します (G1001、次のスクリーンショットを参照)。このフィルターを適用すると、MITRE マトリクスが更新され、選択したグループに直接リンクされているテクニックのみが表示されます。

    MITRE フィルターの例。

    この集中ビューにより、アナリストは選択した脅威グループに関連する戦術、テクニック、手順 (TTP) に特に集中できます。

    フィルターを適用すると、マトリクス内のいくつかのテクニックが青色のテキストで表示され、その他のテクニックはグレーで表示されます。

    TISC 調査キャンバスの MITRE テクニックとサブテクニック。

    MITRE フレームワークの視覚的表現は、テクニックとサブテクニックが適用されたフィルターと調査コンテキストにどのように関連しているかを示します。
    • 青色のテキスト: 青色のテキストで表示されているテクニックまたはサブテクニックは、フィルター基準に一致するものを示します。
    • 太字の青色のテキストと青色の境界線: テクニックまたはサブテクニックは、青色の境界線が付いた青色の太字のテキストで表示され、フィルター基準に一致し、キャンバス上の 1 つ以上のノードに関連付けられているものを示します。
    • グレイのカード: 親テクニックは、フィルター基準に直接一致しない場合 (つまり、選択したグループにリンクされていない場合) は灰色で表示されますが、フィルター基準に一致するリンクされたサブテクニックとの親関係を表すものとして表示されます。