도메인 분리 및 MITRE-ATT&CK
이 도메인 분리 개요는 와 관련이 있습니다 MITRE-ATT&CK. 도메인 분리를 사용하면 데이터, 프로세스 및 관리 작업을 도메인이라는 논리적 그룹으로 분할할 수 있습니다. 그런 다음 사용자가 데이터를 보고 액세스할 수 있는 것을 포함하여 이러한 분리의 여러 가지 측면을 제어할 수 있습니다.
지원 수준
지원: 기본.
에서 도메인 분리가 작동하는 방식 MITRE-ATT&CK
도메인 분리를 수행하려면 다음 단계를 따르십시오.
- 해당 도메인에서 필요한 sn_ti.admin 역할을 가진 사용자를 생성합니다.
- 모든 도메인에 대해 다음을 복제합니다.
- TAXII 수집
주:
- 전역 도메인에서 수집을 활성화하지 마십시오. 복제되어 도메인에서 사용할 수 있는 수집만 활성화합니다.
- 컬렉션의 다른 사용자 이름으로 실행 필드를 해당 도메인에서 sn_ti.admin 역할을 가진 사용자로 변경합니다.
- 기술 범위 정의
- 기술 추출 규칙
- 탐지 규칙 – MITRE ATT&CK 매핑
- 완화 범위
- 모든 완화 범위 정의 기록을 복사합니다.
- 범위 완화 계산기를 복사하거나 해당 도메인에 대한 새 계산기를 생성합니다.
- 위협 그룹 - 기술 히트맵 정의
- TAXII 수집
TAXII 수집 복제
- 다음으로 이동 레이블이 표시됩니다.
- 헤더 표시줄에서 도메인 선택기를 사용하여 도메인을 선택합니다.
- 조직과 관련된 TAXII 컬렉션(엔터프라이즈 ATT&CK, 모바일 ATT&CK 또는 ICS ATT&CK)을 선택합니다.
- 헤더 표시줄을 마우스 오른쪽 버튼으로 클릭하고 삽입 및 유지를 선택합니다. 선택한 도메인 아래에 중복 TAXII 컬렉션이 생성됩니다.
- MITRE ATT&CK TAXII 프로필로 다시 이동하여 중복 TAXII 컬렉션을 봅니다.
다음 그림에서는 도메인 TOP/Initech를 선택하고, 도메인에서 TAXII 컬렉션을 복제하고, 복제된 TAXII 컬렉션을 확인하는 방법을 보여줍니다.