Ordnen Sie Informationen MITRE-ATT&CK Security Incidents zu

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Ordnen Sie die Taktiken und Techniken MITRE-ATT&CK dem -Security Incident zu, um die Analyse von Security Incidents und Bedrohungen zu verbessern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Fügen Sie dem Security Incident die Informationen zu den Taktiken und Techniken MITRE-ATT&CK hinzu, damit Sie Ihre Security Incident- und Bedrohungsinformationen für eine bessere Analyse korrelieren können. Beispielsweise kann Ihre Organisation Informationen im Zusammenhang mit Taktiken, Techniken und Verfahren (TTP) von Ihren Drittparteiquellen erhalten, z. B. von Threat Intelligence -Mitarbeitern oder anderen Quellen außerhalb von Security Incident Response. Anschließend fügen Sie diese Informationen wieder SIR hinzu, um die Korrelation und Bedrohungsanalyse zu verbessern.

    Sie können die Informationen MITRE-ATT&CK automatisch aus den Ergebnissen der automatischen Extraktion der Bedrohungssuche, aus erkennbaren Elementen oder aus einem untergeordneten Security Incident zu einem Security Incident zusammenfassen. Aktivieren Sie für das automatische Rollup von Security Incidents die Systemeigenschaft. Alternativ können Sie die Informationen für jede einzelne Bedrohungssuche und jedes erkennbare Element manuellzusammenfassen.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie mit den MITRE-ATT&CK -Informationen anreichern möchten.
    3. Klicken Sie auf den zugehörigen Link MITRE ATT&CK-Technik zuordnen.
      Der Bereich MITRE ATT&CK-Technik zuordnen wird angezeigt.

      Diese Abbildung zeigt, wie Sie zur zugehörigen Liste navigieren und nach Technik zum Zuordnen MITRE-ATT&CK suchen, die Enterprise ATT&CK-Enterprise-Quelle überprüfen, eine Taktikauswirkung hinzufügen und eine Technik „System herunterfahren/neu starten“ hinzufügen.

    4. Wählen Sie Quelleaus.
      Hinweis:
      In der Quellenliste werden nur die Sammlungen und Matrizen angezeigt, die aktiviert wurden.
      Die Taktiken und Techniken, die der Quelle zugeordnet sind, können ausgewählt werden. Sie können auch mehrere Quellen zuordnen.
    5. Wählen Sie Taktik und Technik aus.
    6. Wahlweise: Überprüfen Sie die Informationen basierend auf der Relevanz für den Security Incident, und gehen Sie wie folgt vor:
      • Um die Zuordnung vollständig zu entfernen, klicken Sie auf das Papierkorbsymbol. Durch Klicken auf dieses Symbol werden die Quelle und die zugehörigen Taktiken und Techniken gelöscht.
      • Um eine Taktik zu entfernen, klicken Sie auf das Minus-Symbol neben der Taktik.
      • Um eine Technik zu entfernen, klicken Sie auf das x-Symbol neben der Technik.
    7. Klicken Sie auf Speichern.

    Ergebnisse

    Die Informationen MITRE-ATT&CK sind dem Security Incident zugeordnet. Sie können jetzt die zugehörigen Informationen auf der MITRE ATT&CK-Karteanzeigen.

    Ordnen Sie Informationen MITRE-ATT&CK geschlossenen Security Incidents zu

    Sie können jetzt den geschlossenen Security Incidents die Taktiken und Techniken MITRE-ATT&CK zuordnen, um Security Incidents und Bedrohungen besser analysieren zu können.

    Verwenden der Karte MITRE-ATT&CK, um zugehörige Informationen in einem Security Incident anzuzeigen

    Sie können die Karte MITRE-ATT&CK verwenden, um die MITRE-ATT&CK -bezogenen Informationen in einem Security Incident anzuzeigen.

    Nachdem für die Informationen ein Rollup aus einer Bedrohungssuche, einem erkennbaren Element oder einer SIEM-Integration durchgeführt wurde, werden sie dem Security Incident hinzugefügt. Anschließend werden die zusammengefassten Informationen auf der Karte MITRE-ATT&CK angezeigt. Die MITRE ATT&CK-Karte bietet zwei Ansichten:

    • Navigatoransicht: Diese Ansicht, die dem Navigator MITRE-ATT&CK ähnelt, zeigt alle Techniken, die manuell hinzugefügt oder aus den Tabellen für erkennbare Elemente oder Bedrohungssuchen zusammengefasst wurden. „Ursprung der Techniken anzeigen“ zeigt die Quelle der Technik an, wenn sie manuell oder über eine Quelle aufgerollt wurde. „ID anzeigen“ zeigt die ID der Technik an.

      Die folgende Abbildung zeigt, wie Sie zur Ansicht MITRE ATT&CK Card Navigator navigieren. Durch Klicken auf einen der verfügbaren Links werden die Informationen im Modul Threat Intelligence geöffnet.

    • Listenansicht: Diese Ansicht zeigt die Daten im Listen- oder Tabellenformat. In dieser Ansicht können Sie alle Daten anzeigen, die auf verschiedene Tabellen und Gruppen verteilt sind.

      Die folgende Abbildung zeigt, wie Sie zur MITRE ATT&CK-Kartenlistenansicht navigieren. Durch Klicken auf einen der verfügbaren Links werden die Informationen im Modul Threat Intelligence geöffnet.