프레임워크 설정 MITRE-ATT&CK

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • 프로필을 활성화 MITRE-ATT&CK 하고 조직에서 위협 탐지를 위한 컬렉션을 설정할 MITRE-ATT&CK 수 있도록 예약된 작업을 설정합니다.

    시작하기 전에

    필요한 역할: sn_ti.admin

    이 태스크 정보

    구조화된 위협 정보 표현(STIX™Structured Threat Information Expression)은 사이버 위협 정보를 표준화되고 구조화된 방식으로 설명하기 위한 언어이다. 보안 팀은 STIX 데이터 및 Trusted Automated Exchange of Indicator Information(TAXII™) 프로필을 사용하여 공유된 사이버 위협 정보를 사용하여 회사 및 다른 소스에서 이전에 식별된 위협을 격리할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > 소스 > TAXII 프로파일레이블이 표시됩니다.
      사용 가능한 TAXII 프로필이 표시됩니다.
    2. 기본 시스템과 함께 제공되는 MITRE ATT&CK 프로파일을 클릭합니다.

      Threat Intelligence: MITRE ATT&CK 프로파일.
    3. 컬렉션을 활성화 TAXII 하려면 조직과 관련된 컬렉션(Enterprise ATT&CK, Mobile ATT&CK 또는 ICS ATT&CK)에 대해 TAXII활성 옵션을 true로 설정합니다.
      TAXII 수집 설명
      엔터프라이즈 ATT&CK 악의적 사용자가 엔터프라이즈 네트워크 및 클라우드를 손상시키고 엔터프라이즈 네트워크 및 클라우드에서 작동하기 위해 취하는 동작과 작업에 대해 설명합니다.
      주:
      사전 ATT&CK 매트릭스는 Enterprise 매트릭스에서 MITRE 더 이상 사용되지 않으며 병합됩니다.
      모바일 ATT&CK 모바일 장치에 초점을 맞추는 악의적 동작과 동작에 대해 설명합니다.
      ICS ATT&CK 악의적 사용자가 ICS(산업 제어 시스템) 네트워크 내에서 작업하는 동안 수행하는 작업에 대해 설명합니다.
    4. 컬렉션을 주기적으로 새로 고치려면 조직에 맞게 실행 옵션을 설정합니다.
      기본적으로 이 옵션은 요청 시로 설정됩니다.
      주:
      1. 컬렉션은 Core 플러그인의 위협 인텔리전스 일부로 패키지됩니다. Threat Intelligence Support Common - 버전 12.0 이상 및 Threat Intelligence - 버전 12.0 이상을 설치하거나 업데이트하면 컬렉션 데이터가 자동으로 채워집니다.
      2. 조직에서 TAXII 사용하려는 컬렉션에 대해서만 컬렉션을 활성화하고 다른 컬렉션은 비활성화합니다. 예를 들어 엔터프라이즈 ATT&CK 매트릭스를 사용하려는 경우 컬렉션 수준 및 매트릭스 수준에서 엔터프라이즈 ATT&CK TAXII 를 활성화 합니다 . 컬렉션 및 매트릭스 수준에서 다른 모바일 ATT&CK 및 ICS ATT&CK 매트릭스 TAXII 를 사용하지 않도록 설정합니다.
      3. TAXII 컬렉션 관련 목록에서 실행 옵션을 매일로 선택하면 오류가 발생하고 옵션이 요청 시로 기본 설정됩니다. 이 오류는 서버의 부하 MITRE 를 최적화하기 위해 매일 데이터 새로 고침을 MITRE-ATT&CK 예약하는 것이 제한되기 때문에 발생합니다. MITRE 또한 ATT&CK 데이터는 일년에 두 번만 업데이트합니다.
      4. 컬렉션을 활성화하지 않는 한 컬렉션은 TAXIITAXII 새로 고쳐지지 않습니다.
      5. 기존 컬렉션에 대한 업데이트는 각 컬렉션에서 '실행' 빈도를 예약하여 서버에서 검색할 MITRE 수 있습니다.
      6. 리포지토리 데이터(Malware, Group, Mitigation 및 기술에 대한 Tool 객체)에 대한 MITRE-ATT&CK 사용자 지정은 예약된 업데이트 중에 저장됩니다.
      7. MITRE 일부 객체가 MITRE-ATT&CK 해지 또는 사용되지 않는 것으로 식별되거나, 새 객체가 추가되거나, 기존 객체가 수정된 지식베이스를 업데이트합니다. 전술이나 기술을 취소하는 경우 MITRE 이러한 개체는 Now Platform. 취소된 객체는 저장소에 보관되지만 Now Platform.

    다음에 수행할 작업

    TAXII 프로필 설정이 완료되면 MITRE-ATT&CK 저장소 데이터를 정기적으로 Now Platform®. 다음으로 이동하여 이 데이터를 볼 수 있습니다. MITRE ATT&CK 리포지토리 > 매트릭스MITRE ATT&CK 리포지토리 > 기술레이블이 표시됩니다.