Verwalten Sie Techniken

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwalten Sie die Techniken, die aus den MITRE TAXII -Sammlungen importiert wurden. Die Techniken enthalten verschiedene Möglichkeiten, wie Angreifer eine bestimmte Taktik anwenden. Sie können Techniken überprüfen und deaktivieren, die für Ihre Organisation nicht relevant sind. In STIXwerden Techniken als Angriffsmuster bezeichnet.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin: Zugriff löschen
    • sn_si.admin: Erstellungs-, Schreib-, Löschzugriff
    • sn_ti.read: Lesezugriff
    • sn_ti.write: erstellen, Schreibzugriff

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Repository > Technikenan.
      Zeigen Sie die Liste der Techniken und Untertechniken an.
      Die Liste der Techniken und Untertechniken ist jetzt aufgelistet.
    2. Um Techniken zu überprüfen und zu deaktivieren, die für Ihre Organisation nicht relevant sind, wechseln Sie zur Listenansicht für die ausgewählte Technik, ändern Sie in der Spalte Aktiv die Einstellung in falseund speichern Sie die Einstellung.
      Deaktivieren Sie die Techniken, die nicht von den anderen Objekten im Repository MITRE-ATT&CK verwendet werden.
    3. Um eine Technik zu priorisieren, weisen Sie im Feld Relevante Priorität (Anwenderdefiniert) eine Priorität zu.
      Die relevante Priorität des Basissystems ist auf „Keine“ festgelegt. Das Feld „ Relevante Priorität (anwenderdefiniert) “ wird nicht aus den MITRE-ATT&CK TAXII -Sammlungen importiert, sondern aus einem anwenderdefinierten Feld, das in Now Platformeingeführt wurde. Sie können die relevanten Prioritätsinformationen verwenden, um Techniken in den Dashboards, während der Zuordnung der Datenquelle oder bei der Analyse der Heatmap zu filtern und zu priorisieren.
    4. Klicken Sie auf eine Technik, um alle zugehörigen Informationen zu dieser Technik anzuzeigen.

      In der folgenden Abbildung können Sie die Details für jede Technik zum Entfernen des Kontozugriffs, ihre ID, Quelle und andere zugehörige Informationen anzeigen.

      Zeigen Sie die Angriffsmustertechnik und die zugehörigen Informationen an.
      Hinweis:
      Das Element „Datenquelle: Datenkomponente“, das von MITRE eingeführt wurde, ersetzt das vorherige Feld „Datenquelle“. Die Datenkomponente bietet eine zusätzliche Kontextunterebene für die Datenquellen. Wenn Ihr MITRE-ATT&CK -Repository die alten TAXII -Sammlungen enthält, können Sie das Feld „Datenquelle“ anzeigen. Andernfalls können Sie die Datenquellen mit dem zusätzlichen Kontext von Datenkomponenten im Feld Datenquelle: Datenkomponente anzeigen. Sie können das neue Datenkomponentenfeld nur anzeigen, wenn die Quelle Enterprise ATT&CK ist. Weitere Informationen finden Sie unter Datenkomponentenzuordnung.
    5. Um anzuzeigen, wie diese Objekte miteinander verknüpft sind, klicken Sie auf Beziehungenanzeigen.

    Nächste Maßnahme

    Sie können die Informationen in einigen dieser zugehörigen Listenobjekte erweitern. Sie können beispielsweise neue Informationen für Gruppe, Verringerung und Externe Referenzen hinzufügen.