Ein Rollup von MITRE-ATT&CK -Informationen mithilfe von MISP -Ergänzungsergebnissen durchführen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Führen Sie ein manuelles Rollup der MISP-Ergänzungsergebnisse durch, wenn Sie das automatische Rollup von Informationen zu MISP nicht aktiviert haben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Verwenden Sie die automatischen Extraktionsregeln des Basissystems, um die MITRE-ATT&CK -Informationen aus der MISP -Integration zu importieren. Mit MISP integration for Security Operations werden zwei Basissystem-Extraktionsregeln für die MITRE-ATT&CK -Technik für MISP - MISP - Galaxien und MISP -Tags eingeführt. Weitere Informationen zu automatischen Extraktionsregeln in MITRE-ATT&CKfinden Sie unter Technikregeln für automatisches Extrahieren für den Import von MITRE-ATT&CK-Informationen.

    Wenn Sie aktiviert haben automatisches Rollup von MITRE-ATT&CK Informationen mithilfe von MISP Datenanreicherungsergebnisse zu einem Security Incident werden die Informationen automatisch zusammengefasst. Wenn Sie das automatische Rollup nicht aktiviert haben, können Sie diese Aufgabe manuell ausführen.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie mit den MITRE-ATT&CK -Informationen anreichern möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die Registerkarte MISP-Ergänzungsergebnisse.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie im Menü „Aktionen “ auf MITRE ATT&CK-Informationen für SI zusammenfassen.
      Sie können mehrere erkennbare Elemente auswählen und dann die Informationen zusammenfassen.
    5. Um die Änderungen zu bestätigen, klicken Sie auf Neu laden.
      Das folgende Beispiel zeigt, wie Sie ein erkennbares Element auswählen und die MISP -Ergänzungsergebnisse für den Security Incident zusammenfassen.
      Abbildung : 1. Führt ein Rollup von MITRE-Informationen zu einem Security Incident durch
      Führt ein Rollup von MITRE-Informationen zu einem Security Incident durch.

    Ergebnisse

    Sie können die Karte MITRE-ATT&CK anzeigen, um zu bestätigen, dass für die MISP-Ergänzungsergebnisse ein Rollup für den Security Incident durchgeführt wurde.