보강 결과를 사용하여 MISP 정보 롤업 MITRE-ATT&CK

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 정보의 자동 롤업을 활성화하지 않은 경우 MISP 보강 결과를 수동으로 롤업 MISP 합니다.

    시작하기 전에

    필요한 역할: sn_si.analyst

    이 태스크 정보

    기본 시스템 자동 추출 규칙을 사용하여 통합에서 정보를 임포트 MITRE-ATT&CK 합니다 MISP . MISP Integration for Security Operations 은하계와 MISP 태그에 대한 MISPMISP 두 가지 기본 시스템 MITRE-ATT&CK 기술 추출 규칙을 소개합니다. 의 자동 추출 규칙에 MITRE-ATT&CK대한 자세한 내용은 MITRE-ATT&CK 정보를 가져오기 위한 자동 추출 기술 규칙을 참조하십시오.

    활성화한 경우 다음의 자동 롤업 MITRE-ATT&CK 를 사용하는 정보 MISP 보강 결과 는 보안 인시던트에 정보가 자동으로 롤업됩니다. 자동 롤업을 사용하도록 설정하지 않은 경우 이 작업을 수동으로 수행할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 정보로 MITRE-ATT&CK 보강할 보안 인시던트를 선택합니다.
    3. 모든 관련 목록 표시MISP 보강 결과 탭을 클릭합니다.
    4. 옵저버블을 선택하고 동작 메뉴에서 MITRE ATT&CK 정보를 SI에 롤업을 클릭합니다.
      여러 옵저버블을 선택한 다음 정보를 롤업할 수 있습니다.
    5. 변경 사항을 확인하려면 다시 로드를 클릭합니다.
      다음 예제에서는 옵저버블을 선택하고 보강 결과를 보안 인시던트로 롤업 MISP 하는 방법을 보여 줍니다.
      그림 1. MITRE 정보를 보안 인시던트로 롤업
      MITRE 정보를 보안 인시던트로 롤업합니다.

    결과

    카드를 보고 MITRE-ATT&CK MISP 보강 결과가 보안 인시던트로 롤업되었는지 확인할 수 있습니다.