Definieren Sie die Datenquellen- und Erkennungstool-Zuordnung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Definieren Sie die Datenquellen- und Erkennungstool-Zuordnung für MITRE-ATT&CKTaktiken und Techniken. Die Datenquellenzuordnung bietet Ihnen Einblicke in die Relevanz und Verfügbarkeit der Datenquellen und der Erkennungstools zur Überwachung der Datenquellen in Ihrer Umgebung.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Schreibzugriff, Löschzugriff
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Datenquellen und Erkennungstools identifizieren, die Ihre Organisation benötigt, um die Techniken effektiv zu erkennen.

    Wenn sich Ihre Organisation beispielsweise auf 5 Techniken konzentriert, benötigen Sie möglicherweise 10 Datenquellen und 10 Erkennungstools, um diese Quellen zu überwachen. Nehmen wir an, dass Sie feststellen, dass Ihre Organisation nicht über zwei Datenquellen und fünf Erkennungstools verfügt. Diese Übung gibt Ihnen Einblick in die Datenquellen und ihre Relevanz für Ihre Organisation und ermöglicht die Identifizierung von Lücken in der Abdeckung. Sie können sich auch auf die Verbesserung Ihrer Umgebung mit den richtigen Datenquellen und Erkennungstools konzentrieren.

    Alle aktiven Taktiken, Techniken, ID und Datenquellen werden automatisch basierend auf ausgefüllt TAXII Profil

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Datenquellenzuordnungan.

      Die folgende Abbildung zeigt die Liste der Taktiken, Techniken und deren IDs, die basierend auf Ihren Sammlungsaktualisierungen ausgefüllt wurden.

      Datenquellen zuordnen.

      Feld Beschreibung
      Taktik Ziel des Angreifers oder Grund für die Ausführung einer Aktion.
      ID Die eindeutige Identität der Technik.
      Technik Wie ein Angreifer ein taktisches Ziel durch Ausführen einer Aktion erreicht.
      Datenquelle Datenquelle, die der Technik zugeordnet ist.
      Datenquelle widerrufen Die Datenquelle wird widerrufen, wenn sie auf „wahr“ festgelegt ist, die Datenquellenzuordnung wird jedoch beibehalten.

      Wenn der Datenquellenwert in nicht gefunden wird MITRE, Wird der Wert für die widerrufene Datenquelle automatisch als „wahr“ markiert. Die Datenquellenzuordnung für einen Datensatz wird widerrufen, wenn die Technik und die Datenquellenbeziehungen in der aktualisiert fehlen MITREDaten.

      Standard: Falsch
      Datenquelle verfügbar Verfügbarkeit der Datenquelle.
      Erkennungstool Tool, das die Datenquelle durch Erkennung der verwendeten Techniken ergänzt. Das Erkennungstool wird dem Warnungssensor in zugeordnet SIR.
      Widerrufen Die Datenquellenzuordnung für einen Datensatz wird widerrufen, wenn die Technik und die Datenquellenbeziehungen in der aktualisiert fehlen MITREDaten.

      Standard: Falsch
    2. Überprüfen Sie die aufgeführten Datenquellen, und ändern Sie den Wert in Datenquelle Verfügbar Feld basierend auf Ihrer Umgebung.
    3. Hinweis:
      Sie können diesen Eintrag nicht in der Listenansicht bearbeiten.
      In Erkennungstool Führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf das Informationssymbol, und klicken Sie auf Datensatz Öffnen .
      2. Entsperren Erkennungstool Eintrag.
      3. Verwenden Sie die Suchliste, um ein Erkennungstool auszuwählen. Sie können Erkennungstools mehrfach auswählen.
      4. Klicken Sie auf Aktualisieren.

      In der folgenden Abbildung werden mehrere Erkennungstools hinzugefügt, um die Datenquelle zu überwachen.

      So ordnen Sie das Erkennungstool zu.