Support-Stufe

Support: Standard.

So funktioniert Domain Separation mit MITRE-ATT&CK

Führen Sie diese Schritte aus, um eine Domänentrennung zu erreichen:

• Erstellen Sie einen Anwender mit den erforderlichen sn_ti.admin-Rollen in der jeweiligen Domäne.
• Replizieren Sie für jede Domäne Folgendes:
  • TAXII Sammlungen
    Hinweis:

    • Aktivieren Sie die Sammlungen nicht in der globalen Domäne. Aktivieren Sie nur die Sammlungen, die in Ihrer Domäne repliziert und verfügbar sind.
    • Ändern Sie das Feld Ausführen als in den Sammlungen in den Benutzer mit der Rolle sn_ti.admin in der entsprechenden Domäne.
  • Definition der Technikabdeckung
  • Extraktionsregel für Technik
  • Erkennungsregeln – MITRE ATT&CK-Zuordnungen
  • Abdeckung durch Risikominderung
    • Kopieren Sie alle Definitionsdatensätze für die Abdeckung durch Risikominderung.
    • Kopieren Sie den Rechner für die Abdeckungsminderung, oder erstellen Sie einen neuen Rechner für die entsprechende Domäne.
  • Bedrohungsgruppe – Technik-Heatmap-Definitionen

TAXII-Sammlung replizieren

1. Navigieren zu Threat Intelligence > Quellen > TAXII-Profilean.
2. Verwenden Sie die Domänenauswahl in der Kopfzeile, um Ihre Domäne auszuwählen.
3. Wählen Sie die TAXII-Sammlung aus, die für Ihre Organisation relevant ist (Enterprise ATT&CK, Mobile ATT&CK oder ICS ATT&CK).
4. Klicken Sie mit der rechten Maustaste auf die Kopfzeile, und wählen Sie Einfügen und bleibenaus. Die doppelte TAXII-Sammlung wird unter der ausgewählten Domäne erstellt
5. Navigieren Sie zurück zum MITRE ATT&CK TAXII-Profil, um die doppelte TAXII-Sammlung anzuzeigen.

Die folgende Abbildung zeigt, wie Sie die Domäne TOP/Initech auswählen, die TAXII-Sammlung in der Domäne replizieren und die replizierte TAXII-Sammlung überprüfen.