Zuordnen MITRE-ATT&CKInformationen mit Security Incidents

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Ordnen Sie zu MITRE-ATT&CKTaktiken und Techniken für den Security Incident für eine bessere Security Incident- und Bedrohungsanalyse.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Fügen Sie hinzu MITRE-ATT&CKTaktik- und Technikinformationen mit dem Security Incident, damit Sie Ihre Security Incident- und Bedrohungsinformationen für eine bessere Analyse korrelieren können. Beispielsweise kann Ihre Organisation Informationen im Zusammenhang mit Taktiken, Techniken und Verfahren (TTP) aus Ihren Drittparteiquellen erhalten, z. B. Threat IntelligenceBerichte oder andere Quellen außerhalb von Security Incident Response. Fügen Sie diese Informationen dann wieder zu hinzu SIRFür eine bessere Korrelation und Bedrohungsanalyse.

    Sie können einen Rollup für auswählen MITRE-ATT&CKInformationen automatisch aus den Ergebnissen der automatischen Extraktion der Bedrohungssuche, aus erkennbaren Elementen oder aus einem untergeordneten Security Incident zu einem Security Incident. Für automatisches Rollup zu Security Incidents, Aktivieren Sie die Systemeigenschaft . Alternativ können Sie die Informationen für jede einzelne Bedrohungssuche oder manuell zusammenfassen Erkennbares Element .

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie mit anreichern möchten MITRE-ATT&CKInformationen.
    3. Klicken Sie auf Ordnen Sie die MITRE ATT&CK-Technik zu Zugehöriger Link.
      Der Bereich „MITRE ATT&CK-Technik zuordnen“ wird angezeigt.

      Diese Abbildung zeigt, wie Sie zur zugehörigen Liste navigieren und nach „Zuordnen“ suchen MITRE-ATT&CKTechnik, überprüfen Sie die Quelle Enterprise ATT&CK, fügen Sie eine taktische Auswirkung hinzu, und fügen Sie ein Techniksystem herunter/neu starten hinzu.

    4. Wählen Sie Aus Quelle .
      Hinweis:
      Nur die Sammlungen Und Matrizen Die aktiviert wurden, werden in der Quellliste angezeigt.
      Die Taktiken und Techniken, die der Quelle zugeordnet sind, können ausgewählt werden. Sie können auch mehrere Quellen zuordnen.
    5. Wählen Sie aus Taktik Und Techniken .
    6. Wahlweise: Überprüfen Sie die Informationen basierend auf der Relevanz für den Security Incident, und gehen Sie folgendermaßen vor:
      • Klicken Sie auf das bin-Symbol, um die Zuordnung vollständig zu entfernen. Durch Klicken auf dieses Symbol werden die Quelle und die zugehörigen Taktiken und Techniken gelöscht.
      • Klicken Sie auf das Minussymbol neben der Taktik, um eine Taktik zu entfernen.
      • Klicken Sie auf das x-Symbol neben der Technik, um eine Technik zu entfernen.
    7. Klicken Sie auf Speichern.

    Ergebnisse

    Die MITRE-ATT&CKInformationen sind dem Security Incident zugeordnet. Sie können jetzt die zugehörigen Informationen in anzeigen MITRE ATT&CK-KARTE .

    Zuordnen MITRE-ATT&CKInformationen mit geschlossenen Security Incidents

    Sie können jetzt zuordnen MITRE-ATT&CKTaktiken und Techniken für die geschlossenen Security Incidents für eine bessere Analyse von Security Incidents und Bedrohungen.

    Mit MITRE-ATT&CKKarte zum Anzeigen zugehöriger Informationen in einem Security Incident

    Sie können verwenden MITRE-ATT&CKKarte, die angezeigt werden soll MITRE-ATT&CKZugehörige Informationen in einem Security Incident.

    Nachdem die Informationen aus einer Bedrohungssuche, einem erkennbaren Element oder einer SIEM-Integration zusammengefasst wurden, werden sie dem Security Incident hinzugefügt. Dann werden die aggregierten Informationen in angezeigt MITRE-ATT&CKKarte. Die MITRE ATT&CK-KARTE Bietet zwei Ansichten:

    • Navigatoransicht: Diese Ansicht, die der ähnelt MITRE-ATT&CKnavigator: Zeigt alle Techniken an, die manuell aus den Tabellen für erkennbare Elemente oder Bedrohungssuche hinzugefügt oder zusammengefasst wurden. Ursprung der Techniken anzeigen Zeigt die Quelle der Technik an, wenn sie manuell Rollup durchgeführt wurde oder über eine Quelle geleitet wurde. ID anzeigen Zeigt die Technik-ID an.

      Die folgende Abbildung zeigt, wie Sie zu navigieren MITRE ATT&CK-KARTE navigatoransicht. Wenn Sie auf einen der verfügbaren Links klicken, werden die Informationen in geöffnet Threat IntelligenceModul.

    • Listenansicht: Diese Ansicht zeigt die Daten in einem Listen- oder Tabellenformat an. In dieser Ansicht können Sie alle Daten anzeigen, die auf verschiedene Tabellen und Gruppen verteilt sind.

      Die folgende Abbildung zeigt, wie Sie zur Listenansicht der MITRE ATT&CK-Karte navigieren. Wenn Sie auf einen der verfügbaren Links klicken, werden die Informationen in geöffnet Threat IntelligenceModul.