데이터 소스 및 탐지 도구 매핑 정의

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 2분

    • 전술 및 기술에 대한 MITRE-ATT&CK 데이터 소스 및 탐지 도구 매핑을 정의합니다. 데이터 소스 매핑은 데이터 소스의 관련성과 가용성에 대한 인사이트과 환경 내 데이터 소스를 모니터링하기 위한 탐지 도구를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_ti.admin, sn_si.admin: 쓰기, 삭제 접근 권한
    • sn_ti.read: 읽기 액세스

    이 태스크 정보

    조직에서 기술을 효과적으로 탐지하는 데 필요한 데이터 소스와 탐지 도구를 식별할 수 있습니다.

    예를 들어 조직에서 5가지 기술에 중점을 두는 경우 이러한 소스를 모니터링하려면 10개의 데이터 소스와 10개의 탐지 도구가 필요할 수 있습니다. 조직에 데이터 소스 2개와 탐지 도구 5개가 없는 것으로 확인되었다고 가정해 보겠습니다. 이 연습에서는 데이터 소스, 조직과의 관련성에 대한 가시성을 제공하고 범위의 격차를 식별할 수 있습니다. 또한 올바른 데이터 소스와 탐지 도구로 환경을 개선하는 데 집중할 수 있습니다.

    모든 활성 전술, 기술, ID 및 데이터 소스는 다음을 기반으로 자동으로 채워집니다. TAXII 프로파일

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 관리 > 데이터 소스 매핑.

      다음 그림은 컬렉션 업데이트를 기반으로 채워진 전술, 기술 및 해당 ID 목록을 보여줍니다.

      데이터 소스를 매핑합니다.

      필드 설명
      방법 공격자의 목적 또는 작업을 수행하는 이유입니다.
      ID 기술의 고유한 정체성.
      기술 적이 동작을 수행하여 전술적 목표를 달성하는 방법입니다.
      데이터 소스 기술과 연결된 데이터 소스입니다.
      데이터 소스 해지됨 예로 설정하면 데이터 소스가 취소되지만 데이터 소스 매핑은 여전히 유지됩니다.

      에서 데이터 소스 값을 찾을 수 MITRE없으면 해지된 데이터 소스 값이 자동으로 예로 표시됩니다. 업데이트 MITRE 된 데이터에서 기술 및 데이터 소스 관계가 누락된 경우 기록에 대한 데이터 소스 매핑이 취소됩니다.

      기본값: false
      데이터 소스 사용 가능 데이터 소스의 가용성입니다.
      탐지 도구 사용되는 기술을 탐지하여 데이터 소스를 보완하는 도구입니다. 탐지 도구는 의 경보 센서 SIR와 매핑됩니다.
      해지함 업데이트 MITRE 된 데이터에서 기술 및 데이터 소스 관계가 누락된 경우 기록에 대한 데이터 소스 매핑이 취소됩니다.

      기본값: false
    2. 나열된 데이터 소스를 검토하고 환경에 따라 사용 가능한 데이터 소스 필드의 값을 수정합니다.
    3. 주:
      목록 뷰에서는 이 항목을 편집할 수 없습니다.
      탐지 도구 필드에서 다음 단계를 수행합니다.
      1. 정보 아이콘을 클릭하고 기록 열기를 클릭합니다.
      2. 탐지 도구 항목의 잠금을 해제합니다.
      3. 조회 목록을 사용하여 탐지 도구를 선택합니다. 탐지 도구를 여러 개 선택할 수 있습니다.
      4. 업데이트를 클릭합니다.

      다음 그림에는 데이터 원본을 모니터링하기 위해 여러 검색 도구가 추가되었습니다.

      탐지 도구를 매핑하는 방법.