Definieren Sie die Datenquellen- und Datenkomponentenzuordnung

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie die Datenkomponentenzuordnung, wenn Sie die neuesten TAXII -Sammlungen verwenden und eine Beziehung zwischen den Datenquellen, Datenkomponenten und den verschiedenen Techniken aufrechterhalten möchten. Ordnen Sie die Datenquellen mit dem zusätzlichen Kontext von Datenkomponenten zu, der den Datenquellen eine zusätzliche Unterebene des Kontexts bietet, sodass Sie das Verhalten des Angreifers in MITRE-ATT&CK besser verstehen können.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Schreib-, Löschzugriff
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Die Zuordnung der Datenquellen und Datenkomponenten bietet Einblick in die Datenquellen oder -komponenten und -techniken, die für Ihre Organisation relevant sind.

    Wenn sich Ihre Organisation beispielsweise auf 7 Techniken konzentriert, benötigen Sie möglicherweise 5 Datenquellen und 10 Datenkomponenten, um diese Quellen zu überwachen. Ihre Bewertung interner Tools zeigt, dass Ihre Organisation nicht über zwei Datenquellen und vier Datenkomponenten verfügt. Diese Zuordnungsübung bietet Einblick in die Datenquellen, Komponenten und Techniken, ihre Relevanz für Ihr Unternehmen und identifiziert die Lücken in der Abdeckung. Sie können Ihre Investitionen auf die richtigen Datenquellen und Warnungssensoren konzentrieren, um Angreiferbedrohungen zu erkennen und zu entschärfen.

    Das Framework MITRE-ATT&CK enthält eine aktualisierte Struktur für die Datenquellen Datenquelle: Datenkomponente. Diese neue Form der Datenquelle bietet einen zusätzlichen Kontext für die Datenquellen. Das Datenquellenobjekt enthält den Namen der Datenquelle sowie wichtige Details zu den gesammelten Daten (Datei, Prozess, Netzwerkverkehr usw.) und bestimmte Werte oder Eigenschaften, die zur Erkennung des Angreiferverhaltens erforderlich sind.

    Die folgende Abbildung zeigt die MITRE-ATT&CK STIX™ -Strukturdarstellung für Datenquellen und Datenkomponenten. Sie können sowohl die Datenquellen als auch die Datenkomponenten anzeigen, die als anwenderdefinierte Objekte STIX™ erfasst wurden. Die Abbildung zeigt, dass jede Datenquelle eine oder mehrere Datenkomponenten enthält und jede Datenkomponente eine oder mehrere Techniken erkennt.

    Abbildung : 1. Allgemeine Struktur von Datenquellen und Datenkomponenten
    Diese Abbildung zeigt die allgemeine Struktur von Datenquellen und Datenkomponenten.

    Sie können die Datenquellenzuordnung weiterhin verwenden, wenn Ihr -RepositoryMITRE-ATT&CK die alten TAXII -Sammlungen enthält und Sie Ihre Datenquellen verschiedenen Techniken zugeordnet haben. Verwenden Sie jedoch die Datenkomponentenzuordnung, wenn Sie die neuesten TAXII -Sammlungen verwenden und eine Beziehung zwischen den Datenquellen, Datenkomponenten und den verschiedenen Techniken aufrechterhalten möchten.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Datenkomponentenzuordnungan.
      Die folgende Abbildung zeigt die Liste der Taktiken, IDs, Techniken zusammen mit den Datenquellen und Datenkomponenten basierend auf Ihren Sammlungsaktualisierungen.Die folgende Abbildung zeigt die Liste der Taktiken, Techniken, IDs und Datenquellen und Datenkomponenten, die basierend auf Ihren Sammlungsaktualisierungen ausgefüllt wurden.
      Feld Beschreibung
      Taktik Ziel des Angreifers oder der Grund für die Durchführung einer Aktion
      ID Eindeutige Identität der Technik.
      Technik Wie ein Angreifer ein strategisches Ziel durch eine Aktion erreicht.
      Datenquelle Datenquelle, die der Technik zugeordnet ist.
      Datenkomponente Datenkomponente, die der Datenquelle zugeordnet ist. Eine Datenkomponente kann nur eine übergeordnete Datenquelle haben.
      Datenkomponente widerrufen Gibt an, ob die Datenkomponente in der Knowledge Base MITRE-ATT&CK widerrufen wurde.
      Erkennungstool Tool, das die Datenquelle ergänzt, indem es die verwendeten Techniken erkennt. Das Erkennungstool wird dem Warnungssensor in SIRzugeordnet.
      Kommentar Beschreibung zur Zuordnung von Datenquelle und Datenkomponente.
      Widerrufen Gibt an, ob die Datenkomponente für die Technikzuordnung von MITRE-ATT&CKwiderrufen wird.
    2. Überprüfen Sie die aufgelisteten Datenquellen und Datenkomponenten, und ändern Sie die Werte entsprechend Ihrer Umgebung.
    3. Führen Sie diese Schritte aus, um eine Datenkomponente hinzuzufügen.
      1. Navigieren zu Threat Intelligence > MITRE ATT&CK-Administration > Technikenan.
      2. Klicken Sie auf eine Technik, mit der Sie die Datenquelle ändern möchten: Datenkomponenteninformationen.
      3. Datenquelle entsperren: Datenkomponente.
      4. Verwenden Sie die Nachschlageliste, um MITRE-ATT&CK Datenkomponenten auszuwählen.
      5. Datenquelle für Sperre: Datenkomponente.
      6. Klicken Sie auf Aktualisieren.
      In der folgenden Abbildung sehen Sie, wie Datenkomponenten hinzugefügt werden.Diese Abbildung zeigt, wie Datenquellenkomponenten einer Technik zugeordnet werden.