Acúmulo de associações de técnica do MITRE

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Acúmulo de associações de técnica MITRE de observáveis, indicadores, objetos e incidentes de segurança que estão vinculados ou desvinculados de um registro de caso.

    Antes de Iniciar

    Nota:
    • O acúmulo de associações de técnica MITRE para incidentes de segurança acumulará os dados associados à técnica MITRE de incidentes de segurança para a gestão de casos no TISC.
    • Por padrão, esta propriedade sn_sec_tisc.auto_rollup_mitre_data está habilitada para a(s) técnica(s) MITRE, a ser acumulada para caso(s) dos objetos associados ou incidentes de segurança automaticamente.
    • Se você quiser executar o acúmulo sob demanda de associações de técnicas do MITRE, navegue até mais ações na exibição do formulário de caso e selecione a opção Acumular técnicas do MITRE. Esta operação acontecerá de forma assíncrona e você pode verificar a seção Fluxo de atividades para as atualizações na atividade de acúmulo.
    Função necessária: sn_sec_tisc.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    • Sempre que qualquer entidade, como um observável ou indicador, estiver vinculada a qualquer caso, todas as associações de técnica do MITRE presentes para essa entidade serão acumuladas automaticamente para o caso.
    • Sempre que qualquer entidade, como um observável ou indicador, for desvinculada e removida do caso, todas as associações de técnica do MITRE acumuladas do caso que estão presentes para essa entidade serão removidas automaticamente e acumuladas para o caso.

    Procedimento

    1. Navegar até Espaços > Central de segurança de inteligência contra ameaças.
    2. Clique no ícone Workbench do analista de ameaças.
    3. Ir para Gestão de casos > Todos os Casos.
      Todos os casos são exibidos.
    4. Abra qualquer caso.
    5. Acesse a guia Artefatos.
    6. Selecione Observáveis na lista relacionada de artefatos.
    7. Selecione o botão Link.
    8. Selecione os observáveis que você deseja vincular ao caso.
    9. Clique em Vincular para vincular os observáveis.
      Depois de vincular os observáveis a um caso, as técnicas de MITRE associadas a esse observável específico são acumuladas automaticamente e a contagem da lista de técnicas de MITRE na seção de artefatos é atualizada automaticamente.
    10. Clique em Desvincular para desvincular os observáveis do caso.
      Depois de desvincular os observáveis de um caso, as técnicas de MITRE associadas a esse observável específico são removidas automaticamente e a contagem da lista de técnicas de MITRE na seção de artefatos é atualizada automaticamente.