정보를 옵저버블과 연결 MITRE-ATT&CK

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 세분화된 수준에서 더 나은 보안 인시던트 및 위협 분석을 위해 전술과 기술을 옵저버블에 연결합니다 MITRE-ATT&CK .

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    일부 SIEM은 이벤트, 경고 또는 옵저버블을 사용하여 정보를 제공할 MITRE-ATT&CK 수 있습니다. 세분화된 MITRE-ATT&CK 수준에서 정보를 연결하기 위해 옵저버블과 정보를 추가할 수 있습니다.

    옵저버블에서 보안 인시던트로 정보를 자동으로 롤업 MITRE-ATT&CK 하도록 선택할 수 있습니다. 옵저버블을 보안 인시던트로 자동 롤업하려면 시스템 속성을 활성화합니다. 또는 각 옵저버블에 대한 정보를 수동으로 롤업할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 정보로 MITRE-ATT&CK 보강할 보안 인시던트를 선택합니다.
    3. Show All Related Lists(모든 관련 목록 표시) 및 Associated Observables(연결된 옵저버블) 탭을 클릭합니다.
    4. 연결하려는 옵저버블을 가리키고 마우스 오른쪽 버튼을 클릭한 다음 MITRE ATT&CK 기술 연결을 선택합니다.

      다음 그림에서는 관련 목록에서 MITRE ATT&CK 기술 연결로 이동하고, 소스를 검토하고, 전술 및 기술을 추가하는 방법을 확인할 수 있습니다.

      MITRE ATT&CK 정보를 옵저버블과 연결합니다.
    5. 원본 목록에서 원본을 검토합니다.
      주:
      활성화된 컬렉션행렬 만 원본 목록에 나타납니다.
    6. 전술과기법을 검토하고 옵저버블과의 관련성에 따라 추가하거나 제거합니다.
    7. 저장을 클릭합니다.
      추가한 전술과 기법이 옵저버블 관련 목록의 정보 열에 나타납니다 MITRE-ATT&CK .
    8. 옵저버블을 선택한 다음 작업 메뉴에서 MITRE ATT&CK 정보를 SI에 롤업(Roll up MITRE ATT&CK INFORMATION TO SI)을 클릭합니다.
      활성화한 경우 다음의 자동 롤업 MITRE-ATT&CK 옵저버블에서 보안 인시던트까지의 정보로 표시되면 정보가 자동으로 롤업됩니다. 자동 롤업을 활성화하지 않은 경우 이 작업을 수동으로 수행해야 합니다.

      다음 그림에서는 옵저버블을 선택하고 정보를 보안 인시던트로 롤업 MITRE-ATT&CK 하는 방법을 보여 줍니다.

      옵저버블에서 보안 인시던트까지 MITRE ATT&CK 정보를 수동으로 롤업합니다.
    9. 옵저버블과 연결된 기술의 집계 보기를 보려면 목록에서 두 개 이상의 옵저버블을 선택한 다음 선택한 행 목록의 작업 메뉴에서 MITRE ATT&CK 정보 표시를 클릭합니다.

    결과

    선택한 옵저버블에 대한 MITRE ATT&CK 정보의 집계 뷰가 표시됩니다.