Definieren Sie die Datenquellen- und Datenkomponentenzuordnung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie die Datenkomponentenzuordnung, wenn Sie die neuesten TAXII Sammlungen verwenden und eine Beziehung zwischen den Datenquellen, Datenkomponenten und den verschiedenen Techniken aufrechterhalten möchten. Ordnen Sie die Datenquellen dem zusätzlichen Kontext von Datenkomponenten zu, der Datenquellen eine zusätzliche Kontextebene bietet, mit der Sie das Verhalten von Angreifern in MITRE-ATT&CK besser verstehen können.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Schreib-, Löschzugriff
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Die Zuordnung der Datenquellen und Datenkomponenten bietet Einblick in die Datenquellen oder -komponenten und die Techniken, die für Ihre Organisation relevant sind.

    Wenn sich Ihre Organisation beispielsweise auf 7 Techniken konzentriert, benötigen Sie möglicherweise 5 Datenquellen und 10 Datenkomponenten, um diese Quellen zu überwachen. Ihre Auswertung der internen Tools zeigt, dass Ihre Organisation nicht über zwei Datenquellen und vier Datenkomponenten verfügt. Diese Zuordnungsübung bietet Einblick in die Datenquellen, Komponenten und Techniken, ihre Relevanz für Ihr Unternehmen und die Identifizierung von Lücken in der Abdeckung. So können Sie Ihre Investitionen auf die richtigen Datenquellen und Warnungssensoren konzentrieren, um Bedrohungen durch Angreifer zu erkennen und zu mindern.

    Das Framework MITRE-ATT&CK enthält eine aktualisierte Struktur für die Datenquellen – Datenquelle: Datenkomponente. Diese neue Form der Datenquelle bietet einen zusätzlichen Kontext für die Datenquellen. Das Datenquellenobjekt enthält den Namen der Datenquelle sowie wichtige Details zu den erfassten Daten (Datei, Prozess, Netzwerkdatenverkehr usw.) und bestimmte Werte oder Eigenschaften, die zum Erkennen des Verhaltens von Angreifern erforderlich sind.

    Die folgende Abbildung zeigt die Strukturdarstellung MITRE-ATT&CK STIX™ für Datenquellen und Datenkomponenten. Sie können sowohl die Datenquellen als auch die Datenkomponenten anzeigen, die als benutzerdefinierte STIX™ Objekte erfasst wurden. Die Abbildung zeigt, dass jede Datenquelle eine oder mehrere Datenkomponenten enthält und jede Datenkomponente eine oder mehrere Techniken erkennt.

    Abbildung : 1. Allgemeine Struktur von Datenquellen und Datenkomponenten
    Diese Abbildung zeigt die allgemeine Struktur von Datenquellen und Datenkomponenten.

    Sie können die Datenquellenzuordnung weiterhin verwenden, wenn Ihr MITRE-ATT&CK -Repository die alten TAXII -Sammlungen enthält und Sie Ihre Datenquellen verschiedenen Techniken zugeordnet haben. Verwenden Sie jedoch die Datenkomponentenzuordnung, wenn Sie die neuesten TAXII Sammlungen verwenden und eine Beziehung zwischen den Datenquellen, Datenkomponenten und den verschiedenen Techniken aufrechterhalten möchten.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Datenkomponentenzuordnung.
      Die folgende Abbildung zeigt die Liste der Taktiken, IDs, Techniken sowie die Datenquellen und Datenkomponenten basierend auf Ihren Sammlungsaktualisierungen.Die folgende Abbildung zeigt die Liste der Taktiken, Techniken, IDs sowie die Datenquellen und Datenkomponenten, die basierend auf Ihren Sammlungsaktualisierungen ausgefüllt wurden.
      Feld Beschreibung
      Taktik Ziel des Angreifers oder Grund für die Ausführung einer Aktion.
      ID Eindeutige Identität der Technik.
      Technik Wie ein Angreifer ein taktisches Ziel erreicht, indem er eine Aktion ausführt.
      Datenquelle Datenquelle, die der Technik zugeordnet ist.
      Datenkomponente Datenkomponente, die der Datenquelle zugeordnet ist. Eine Datenkomponente kann nur eine übergeordnete Datenquelle haben.
      Datenkomponente widerrufen Gibt an, ob die Datenkomponente in der Knowledge Base MITRE-ATT&CK widerrufen wurde.
      Erkennungstool Tool, das die Datenquelle durch Erkennung der verwendeten Techniken ergänzt. Das Erkennungstool wird dem Warnungssensor in SIRzugeordnet.
      Anmerkung Beschreibung der Datenquellen- und Datenkomponentenzuordnung.
      Widerrufen Gibt an, ob die Datenkomponente für die Technikzuordnung von MITRE-ATT&CKwiderrufen wird.
    2. Überprüfen Sie die aufgelisteten Datenquellen und Datenkomponenten, und ändern Sie die Werte basierend auf Ihrer Umgebung.
    3. Befolgen Sie diese Schritte, um eine Datenkomponente hinzuzufügen.
      1. Navigieren zu Threat Intelligence > MITRE ATT&CK-Administration > Techniken.
      2. Klicken Sie auf eine Technik, mit der Sie die Datenquelle ändern möchten: Datenkomponenteninformationen.
      3. Datenquelle entsperren: Datenkomponente.
      4. Verwenden Sie die Nachschlageliste, um MITRE-ATT&CK Datenkomponenten auszuwählen.
      5. Datenquelle sperren: Datenkomponente.
      6. Klicken Sie auf Aktualisieren.
      In der folgenden Abbildung sehen Sie, wie Sie Datenkomponenten hinzufügen.Diese Abbildung zeigt, wie Datenquellenkomponenten einer Technik zugeordnet werden.