Associar MITRE-ATT&CK informações com observáveis

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Associar MITRE-ATT&CK táticas e técnicas para um observável para melhor análise de incidentes de segurança e ameaças em um nível granular.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Alguns SIEMs podem fornecer MITRE-ATT&CK informações com eventos, alertas ou observáveis. Para associar o. MITRE-ATT&CK informações em um nível granular, você pode adicionar as informações com um observável.

    Você pode optar por acumular o. MITRE-ATT&CK informações automaticamente dos observáveis para um incidente de segurança. Para acúmulo automático de observáveis para incidentes de segurança, habilite a propriedade do sistema . Como alternativa, você pode acumular as informações manualmente para cada observável.

    Procedimento

    1. Navegar até Tudo > Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja enriquecer com MITRE-ATT&CK informações.
    3. Clique em Mostrar todas as listas relacionadas e o. Observáveis associados guia.
    4. Aponte para o observável que você deseja associar, clique com o botão direito do mouse e selecione Associar técnica MITRE ATT&CK .

      Na ilustração a seguir, você pode ver como navegar da lista relacionada para Associar técnica MITRE ATT&CK , revise a origem e adicione uma tática e uma técnica.

      Associe informações DO MITRE ATT&CK a um observável.
    5. Nas listas de origem, revise Origem .
      Nota:
      . coleções e. matrizes que foram ativados aparecem na lista de origens.
    6. Revise Tática e. Técnicas e adicione ou remova-os com base na relevância com o observável.
    7. Clique em Salvar.
      As táticas e técnicas que você adicionou aparecem em MITRE-ATT&CK Coluna de informações na lista relacionada Observáveis.
    8. Selecione o observável e, no menu Ações, clique em Acumular informações DO MITRE ATT&CK para SI .
      Se você tiver habilitado acúmulo automático de MITRE-ATT&CK informações de observáveis a incidentes de segurança, em seguida, as informações são acumuladas automaticamente. Se você não habilitou o rollup automático, será necessário fazer isso manualmente.

      A ilustração a seguir mostra como selecionar um observável e acumular o. MITRE-ATT&CK informações para um incidente de segurança.

      Acumular manualmente informações DO MITRE ATT&CK do observável para o incidente de segurança.
    9. Para ver uma exibição agregada das técnicas associadas aos observáveis, selecione dois ou mais observáveis na lista e, em seguida, em Ações na lista linhas selecionadas, clique em Mostrar informações DO MITRE ATT&CK .

    Resultado

    Uma exibição agregada das informações DO MITRE ATT&CK para os observáveis selecionados é exibida.