Richten Sie das Framework MITRE-ATT&CK ein

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Aktivieren Sie das Profil MITRE-ATT&CK, und richten Sie eine regelmäßige Aufgabe ein, damit Sie MITRE-ATT&CK -Sammlungen für die Bedrohungserkennung in Ihrer Organisation einrichten können.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Der strukturierte Bedrohungsinformationsausdruck (STIX™) ist eine Sprache zur Beschreibung von Cyberbedrohungsinformationen auf standardisierte und strukturierte Weise. Mit STIX-Daten und Profilen für Trusted Automated Exchange of Indicator Information (TAXII™) können Sicherheitsteams freigegebene Cyberbedrohungsinformationen verwenden, um Bedrohungen zu isolieren, die zuvor von Ihrem Unternehmen und aus anderen Quellen identifiziert wurden.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > TAXII-Profile.
      Sie sehen die verfügbaren TAXII Profile.
    2. Klicken Sie auf das MITRE ATT&CK -Profil, das mit dem Basissystem bereitgestellt wird.

      Threat Intelligence: MITRE ATT&CK-Profil
    3. Um die Sammlung TAXII zu aktivieren, setzen Sie die Option Aktiv für die Sammlung TAXII, die für Ihre Organisation relevant ist (Enterprise ATT&CK, Mobile ATT&CK oder ICS ATT&CK), auf „true“.
      TAXII-Sammlung Beschreibung
      Unternehmens-ATT&CK Beschreibt die Verhaltensweisen und Aktionen eines Angreifers, um in ein Unternehmensnetzwerk und eine Cloud einzudringen und dort zu operieren.
      Hinweis:
      Die Pre ATT&CK-Matrix wurde von MITRE veraltet und wird mit der Enterprise-Matrix zusammengeführt.
      Mobile ATT&CK Beschreibt die Verhaltensweisen und Aktionen von Angreifern, die sich auf Mobilgeräte konzentrieren.
      ICS ATT&CK Beschreibt die Aktionen, die ein Angreifer ausführt, während er in einem ICS-Netzwerk (Industrial Control Systems) agiert.
    4. Um die Sammlung regelmäßig zu aktualisieren, legen Sie die Option Ausführen für Ihre Organisation entsprechend fest.
      Standardmäßig ist diese Option auf On Demand festgelegt.
      Hinweis:
      1. Sammlungen werden als Teil des Threat Intelligence Core-Plugins paketiert. Durch die Installation oder Aktualisierung von Threat Intelligence Support Common - Version 12.0 oder höher und Threat Intelligence - Version 12.0 oder höher wird sichergestellt, dass Ihre Sammlungsdaten automatisch ausgefüllt werden.
      2. Aktivieren Sie die Sammlung TAXII nur für die Sammlung, die Sie in Ihrer Organisation verwenden möchten, und deaktivieren Sie die anderen Sammlungen. Wenn Sie beispielsweise die Enterprise ATT&CK-Matrix verwenden möchten, aktivieren Sie Enterprise ATT&CK auf der Sammlungsebene TAXII und auf der Matrizenebene. Deaktivieren Sie die anderen Mobile ATT&CK- und ICS ATT&CK-Matrizen in der Sammlung TAXII und auf der Matrizenebene.
      3. Wenn Sie in den zugehörigen Listen TAXII Sammlungen für die Option Ausführen die Option Täglich auswählen, tritt ein Fehler auf, und die Option wird standardmäßig auf Bei Bedarf festgelegt. Dieser Fehler tritt auf, da die Planung der täglichen Datenaktualisierung von MITRE-ATT&CK eingeschränkt ist, um die Last auf den Servern MITRE zu optimieren. Außerdem aktualisiert MITRE die ATT&CK-Daten nur zweimal im Jahr.
      4. Die TAXII -Sammlungen werden nur aktualisiert, wenn Sie die TAXII -Sammlung aktivieren.
      5. Aktualisierungen vorhandener Sammlungen können vom MITRE -Server abgerufen werden, indem die Ausführungshäufigkeit in jeder Sammlung geplant wird.
      6. Die Anpassungen, die Sie an den MITRE-ATT&CK -Repository-Daten vornehmen (Malware-, Gruppen-, Mitigation- und Tool-Objekte zu einer Technik) werden während geplanter Updates gespeichert.
      7. MITRE aktualisiert die Knowledge Base MITRE-ATT&CK, in der einige Objekte als widerrufen oder veraltet identifiziert, neue Objekte hinzugefügt oder vorhandene Objekte geändert werden. Wenn MITRE eine Taktik oder Technik widerruft, werden diese Objekte in Now Platformals widerrufen markiert. Die widerrufenen Objekte werden im Repository beibehalten, sind jedoch nicht zur Verwendung in Now Platformverfügbar.

    Nächste Maßnahme

    Nach Abschluss der Einrichtung des TAXII-Profils werden die Repository-Daten MITRE-ATT&CK in regelmäßigen Abständen in den Now Platform®importiert. Sie können diese Daten anzeigen, indem Sie zu navigieren MITRE ATT&CK-Repository > Matrizen und MITRE ATT&CK-Repository > Techniken.