특정 필터를 사용하여 MITRE-ATT&CK 링크 분석 및 위협 헌팅 수행

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 조직에서 위협 헌팅을 시작할 수 있도록 옵저버블, 보안 인시던트 및 관련 정보의 상관 관계를 지정하고 MITRE-ATT&CK 링크 분석을 수행합니다.

    시작하기 전에

    필요한 역할: sn_ti.mitre_analyst, sn_si.read

    이 태스크 정보

    보안 인시던트를 MITRE-ATT&CK 정보와 연결한 후 위협 헌팅에 MITRE-ATT&CK 특정 필터를 사용할 수 있습니다. MITRE-ATT&CK 필터를 기존 보안 인시던트 응답 필터와 함께 사용하여 상관 관계를 지정하고 링크 분석을 수행합니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 개인화된 목록 업데이트를 클릭하여 열을 추가합니다MITRE.
    3. 보안 인시던트 또는 옵저버블과의 관련 정보 및 연관성을 볼 MITRE 수 있도록 필터 조건을 선택합니다.
      • MITRE-ATT&CK 반대 그룹
      • MITRE-ATT&CK 데이터 소스
      • MITRE-ATT&CK 절차(맬웨어)
      • MITRE-ATT&CK 절차(도구)
      • MITRE-ATT&CK 전술
      • MITRE-ATT&CK 기술
    4. 위의 기준을 기반으로 하는 필터 조건을 생성하고 실행 을 클릭하여 보안 인시던트, 옵저버블 및 MITRE-ATT&CK 관련 정보 간의 링크 분석 또는 상관 관계를 수행합니다.
      주:
      MITRE-ATT&CK 데이터는 문자열로 저장되며 필터 조건의 연산자로만 contains를 사용할 수 있습니다.

      예를 들어 CI(구성 항목)가 손상된 것을 검토하려면 CI를 선택합니다. 그런 다음 기술 ID를 추가하여 존재하는 기술과 CI의 MITRE-ATT&CK 상관관계를 지정합니다. 그런 다음 필터 기준을 계속 작성하여 정보의 상관 관계를 지정하고 위협 헌팅을 수행할 수 있습니다.

      위협 분석을 위한 MITRE 필터 조건입니다.