옵저버블과 정보 연결 MITRE-ATT&CK

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기1분

    • 전술 및 기술을 옵저버블에 연결하여 MITRE-ATT&CK 세분화된 수준에서 보안 인시던트 및 위협 분석을 개선합니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    일부 SIEM은 이벤트, 경고 또는 옵저버블과 함께 정보를 제공할 MITRE-ATT&CK 수 있습니다. 세분화된 수준에서 정보를 연결하기 MITRE-ATT&CK 위해 옵저버블에 정보를 추가할 수 있습니다.

    옵저버블에서 보안 인시던트로 정보를 자동으로 롤업 MITRE-ATT&CK 하도록 선택할 수 있습니다. 옵저버블을 보안 인시던트로 자동 롤업하려면 시스템 속성을 활성화합니다. 또는 각 옵저버블에 대한 정보를 수동으로 롤업할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시.
    2. 정보를 보강할 보안 인시던트를 MITRE-ATT&CK 선택합니다.
    3. 모든 관련 목록 표시연결된 옵저버블 탭을 클릭합니다.
    4. 연결할 옵저버블을 가리키고 마우스 오른쪽 버튼을 클릭한 다음 MITRE ATT&CK 기술 연결을 선택합니다.

      다음 그림에서는 관련 목록에서 MITRE ATT&CK 기술 연결로 이동하고, 소스를 검토하고, 방법 및 기술을 추가하는 방법을 볼 수 있습니다.

      MITRE ATT&CK 정보를 옵저버블과 연결합니다.
    5. 소스 목록에서 소스를 검토합니다.
      주:
      활성화된 컬렉션매트릭스 만 소스 목록에 나타납니다.
    6. 방법 및 기술을 검토하고 옵버블과의 관련성에 따라 추가하거나 제거합니다.
    7. 저장을 클릭합니다.
      추가한 전술 및 기술이 옵저버블 관련 목록의 정보 열에 나타납니다 MITRE-ATT&CK .
    8. 옵저버블을 선택하고 작업 메뉴에서 MITRE ATT&CK 정보를 SI로 롤업을 클릭합니다.
      활성화한 경우 의 자동 롤업 MITRE-ATT&CK 옵저버블에서 보안 인시던트까지 정보을 누르면 정보가 자동으로 롤업됩니다. 자동 롤업을 사용하도록 설정하지 않은 경우 이 작업을 수동으로 수행해야 합니다.

      다음 그림에서는 옵저버블을 선택하고 이 MITRE-ATT&CK 정보를 보안 인시던트에 롤업하는 방법을 보여줍니다.

      옵저버블에서 보안 인시던트까지 MITRE ATT&CK 정보를 수동으로 롤업합니다.
    9. 옵저버블과 연결된 기술의 집계된 뷰를 보려면 목록에서 옵저버블을 두 개 이상 선택한 다음 선택한 행 목록의 작업 메뉴에서 MITRE ATT&CK 정보 표시를 클릭합니다.

    결과

    선택한 옵저버블에 대한 MITRE ATT&CK 정보의 집계 뷰가 표시됩니다.