데이터 소스 및 데이터 구성요소 매핑 정의
최신 TAXII 컬렉션을 사용하고 데이터 원본, 데이터 구성 요소 및 다양한 기술 간의 관계를 유지하려는 경우 데이터 구성 요소 매핑을 사용합니다. 데이터 소스를 데이터 구성요소의 추가 컨텍스트와 매핑하여 데이터 소스에 컨텍스트의 추가 하위 계층을 제공하여 공격자의 행동을 MITRE-ATT&CK 더 잘 이해할 수 있도록 합니다.
시작하기 전에
- sn_ti.admin, sn_si.admin: 쓰기, 삭제 권한
- sn_ti.read: 읽기 권한
이 태스크 정보
데이터 원본과 데이터 구성요소를 매핑하면 데이터 소스나 구성요소 및 조직과 관련된 기술을 파악할 수 있습니다.
예를 들어 조직에서 7가지 기술에 중점을 두는 경우 이러한 소스를 모니터링하려면 5개의 데이터 소스와 10개의 데이터 구성요소가 필요할 수 있습니다. 내부 도구를 평가한 결과 조직에 두 개의 데이터 원본과 네 개의 데이터 구성 요소가 없는 것으로 나타났습니다. 이 매핑 연습은 데이터 소스, 구성요소, 기술, 조직과의 관련성에 대한 가시성을 제공하고 범위의 격차를 식별합니다. 따라서 올바른 데이터 원본과 경고 센서에 투자를 집중하여 악의적 위협을 탐지하고 완화할 수 있습니다.
프레임워크에는 MITRE-ATT&CK 데이터 소스에 대한 업데이트된 구조(데이터 소스: 데이터 구성요소)가 포함되어 있습니다. 이 새로운 형태의 데이터 소스는 데이터 소스에 추가 컨텍스트를 제공합니다. 데이터 원본 개체에는 데이터 원본의 이름뿐만 아니라 수집된 데이터(파일, 프로세스, 네트워크 트래픽 등)에 대한 주요 세부 정보 및 악의적 동작을 감지하는 데 필요한 특정 값 또는 속성이 포함되어 있습니다.
다음 그림에서는 데이터 원본 및 데이터 구성 요소에 대한 구조 표현을 보여 줍니다 MITRE-ATT&CK STIX™ . 사용자 지정 STIX™ 객체로 캡처된 데이터 소스와 데이터 구성요소를 모두 볼 수 있습니다. 이 그림에서는 각 데이터 소스에 하나 이상의 데이터 구성 요소가 포함되어 있고 각 데이터 구성 요소가 하나 이상의 기술을 감지하는 것을 보여 줍니다.
리포지토리에 이전 TAXII 컬렉션이 포함되어 있고 데이터 원본을 다양한 기술에 매핑한 경우 MITRE-ATT&CK데이터 원본 매핑을 계속 사용할 수 있습니다. 그러나 최신 TAXII 컬렉션을 사용하고 데이터 원본, 데이터 구성 요소 및 다양한 기술 간의 관계를 유지하려는 경우에는 데이터 구성 요소 매핑을 사용합니다.
프로시저
-
다음으로 이동 레이블이 표시됩니다.
다음 그림에서는 컬렉션 업데이트를 기반으로 하는 데이터 원본 및 데이터 구성 요소와 함께 전술, ID, 기술 목록을 보여 줍니다.
필드 설명 방법 악의적 사용자의 목표 또는 작업을 수행하는 이유입니다. ID 테크닉의 독특한 아이덴티티. 기술 악의적 사용자가 작업을 수행하여 전술적 목표를 달성하는 방법입니다. 데이터 소스 기술과 연결된 데이터 소스입니다. 데이터 구성요소 데이터 소스와 연결된 데이터 구성요소입니다. 데이터 구성요소에는 상위 데이터 소스가 하나만 있을 수 있습니다. 데이터 구성요소 해지됨 데이터 구성요소가 지식베이스에서 MITRE-ATT&CK 해지되었는지 여부를 식별합니다. 탐지 도구 사용되는 기술을 탐지하여 데이터 소스를 보완하는 도구입니다. 탐지 도구는 의 SIR경보 센서와 매핑됩니다. 설명 데이터 소스 및 데이터 구성요소 매핑에 대한 설명입니다. 해지됨 기술 매핑에 대한 데이터 구성요소가 에 의해 해지되는지 MITRE-ATT&CK여부를 식별합니다. -
다음 단계에 따라 데이터 구성요소를 추가합니다.
- 다음으로 이동 레이블이 표시됩니다.
- 데이터 소스(데이터 구성요소 정보)를 수정할 기술을 클릭합니다.
- 데이터 소스 잠금 해제: 데이터 구성요소.
- 조회 목록을 사용하여 데이터 구성요소를 선택합니다 MITRE-ATT&CK .
- 잠금 데이터 소스: 데이터 구성요소.
- 업데이트를 클릭합니다.
다음 그림에서는 데이터 구성 요소를 추가하는 방법을 보여 줍니다.