Definieren Sie die Zuordnung von Datenquelle und Erkennungstool

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Definieren Sie die Zuordnung von Datenquelle und Erkennungstool für MITRE-ATT&CK -Taktiken und -Techniken. Die Datenquellenzuordnung bietet Ihnen Einblick in die Relevanz und Verfügbarkeit der Datenquellen und der Erkennungstools für die Überwachung der Datenquellen in Ihrer Umgebung.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Schreib-, Löschzugriff
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Datenquellen und Erkennungstools identifizieren, die Ihre Organisation benötigt, um die Techniken effektiv zu erkennen.

    Wenn sich Ihre Organisation beispielsweise auf 5 Techniken konzentriert, benötigen Sie möglicherweise 10 Datenquellen und 10 Erkennungstools, um diese Quellen zu überwachen. Angenommen, Sie stellen fest, dass Ihre Organisation nicht über zwei Datenquellen und fünf Erkennungstools verfügt. Diese Übung gibt Ihnen Einblick in die Datenquellen und ihre Relevanz für Ihr Unternehmen sowie zur Identifizierung von Lücken in der Abdeckung. Sie können sich auch auf die Verbesserung Ihrer Umgebung mit den richtigen Datenquellen und Erkennungstools konzentrieren.

    Alle aktiven Taktiken, Techniken, IDs und Datenquellen werden basierend auf Ihren Datenquellen automatisch ausgefüllt TAXII Profil

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Datenquellenzuordnungan.

      Die folgende Abbildung zeigt die Liste der Taktiken, Techniken und ihre IDs, die basierend auf Ihren Sammlungsaktualisierungen ausgefüllt wurden.

      Datenquellen zuordnen.

      Feld Beschreibung
      Taktik Ziel des Angreifers oder der Grund für die Durchführung einer Aktion
      ID Eindeutige Identität der Technik.
      Technik Wie ein Angreifer ein strategisches Ziel durch eine Aktion erreicht.
      Datenquelle Datenquelle, die der Technik zugeordnet ist.
      Datenquelle widerrufen Datenquelle wird widerrufen, wenn sie auf „wahr“ festgelegt ist, die Datenquellenzuordnung wird jedoch weiterhin beibehalten.

      Wenn der Datenquellenwert nicht in MITREgefunden wird, wird der Wert Datenquelle widerrufen automatisch als „wahr“ markiert. Die Datenquellenzuordnung für einen Datensatz wird widerrufen, wenn die Beziehungen für Technik und Datenquelle in den aktualisierten Daten MITRE fehlen.

      Standardwert: false
      Datenquelle verfügbar Verfügbarkeit der Datenquelle.
      Erkennungstool Tool, das die Datenquelle ergänzt, indem es die verwendeten Techniken erkennt. Das Erkennungstool wird dem Warnungssensor in SIRzugeordnet.
      Widerrufen Die Datenquellenzuordnung für einen Datensatz wird widerrufen, wenn die Beziehungen für Technik und Datenquelle in den aktualisierten Daten MITRE fehlen.

      Standardwert: false
    2. Überprüfen Sie die aufgelisteten Datenquellen, und ändern Sie den Wert im Feld Datenquelle verfügbar entsprechend Ihrer Umgebung.
    3. Hinweis:
      Sie können diesen Eintrag nicht in der Listenansicht bearbeiten.
      Führen Sie im Feld Erkennungstool die folgenden Schritte aus:
      1. Klicken Sie auf das Informationssymbol und anschließend auf Datensatz öffnen.
      2. Entsperren Sie den Eintrag des Erkennungstools.
      3. Verwenden Sie die Nachschlageliste, um ein Erkennungstool auszuwählen. Erkennungstools können mehrfach ausgewählt werden.
      4. Klicken Sie auf Aktualisieren.

      In der folgenden Abbildung werden mehrere Erkennungstools hinzugefügt, um die Datenquelle zu überwachen.

      Zuordnung des Erkennungstools.