Erweitern Sie die Daten MITRE-ATT&CK .
Erweitern Sie die Repository-Daten [ MITRE-ATT&CK in Now Platform durch Anreichern von Daten.
Vorbereitungen
- sn_ti.admin: Zugriff löschen
- sn_ti.read: Lesezugriff
- sn_ti.write: erstellen, Schreibzugriff
Warum und wann dieser Vorgang ausgeführt wird
Sie können die Objekte Malware, Gruppe, Verringerung und Tool auf eine Technik im Repository MITRE-ATT&CK erweitern.
Sie können ein neues Objekt erstellen und eine Beziehung zwischen einer Technik und dem neuen Objekt im Modul „MITRE ATT&CK-Repository“ herstellen, aber Sie können den Beziehungstyp in diesem Modul nicht definieren. Weitere Informationen zum Definieren von Beziehungstypen finden Sie unter Objekt-zu-Objekt-Beziehungen. Um einen Beziehungstyp zu definieren, navigieren Sie zu Modul.
Wenn Sie den Beziehungstyp zwischen einer vorhandenen Technik und einem vorhandenen Objekt zuordnen, müssen Sie die Technik als Zielobjekt und das Objekt als Quellobjekt definieren. Navigieren Sie dazu zu Modul.
Sie können eine Gruppe erstellen und sie einem Angriffsmuster zuordnen, aber im MITRE ATT&CK-Repository können Sie nur die Beziehung zwischen der Gruppe und dem Angriffsmuster herstellen. Um den Objekt-zu-Objekt-Beziehungstyp zu definieren, müssen Sie dies im IoC-Repository tun.
Prozedur
-
Klicken Sie auf eine Technik oder Untertechnik, um alle zugehörigen Informationen zu dieser Technik anzuzeigen.
In der folgenden Abbildung können Sie sehen, dass die Botnet-Technik (T1584.005) keiner Gruppe zugeordnet ist. Wenn Sie zusätzliche Informationen zu einer Technik oder Untertechnik haben, können Sie diese durch Hinzufügen oder Ändern der Informationen bereichern.
-
Klicken Sie auf eine zugehörige Liste, um ihre Daten zu ergänzen und sie einer neuen Gruppe zuzuordnen.
In der folgenden Abbildung wurde die Gruppe Custom1 der Botnet-Untertechnik zugeordnet.