Rollup durchführen MITRE-ATT&CKInformationen mit MISPErgänzungsergebnisse

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • Führen Sie ein manuelles Rollup der MISP-Ergänzungsergebnisse durch, wenn Sie das automatische Rollup von nicht aktiviert haben MISPInformationen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Verwenden Sie die automatischen Extraktionsregeln des Basissystems, um zu importieren MITRE-ATT&CKInformationen aus MISPIntegration. Die MISP integration for Security OperationsFührt zwei Basissysteme ein MITRE-ATT&CKExtraktionsregeln für Technik für MISPMISPGalaxien und MISPTags. Weitere Informationen zu automatischen Extraktionsregeln finden Sie in MITRE-ATT&CK, Siehe Technikregeln zum Importieren von MITRE-ATT&CK-Informationen automatisch extrahieren .

    Wenn Sie aktiviert haben Automatisches Rollup von MITRE-ATT&CK Informationen mit MISP Ergänzungsergebnisse Für einen Security Incident werden die Informationen automatisch zusammengefasst. Wenn Sie das automatische Rollup nicht aktiviert haben, können Sie diese Aufgabe manuell ausführen.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie mit anreichern möchten MITRE-ATT&CKInformationen.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und MISP-Anreicherungsergebnisse Registerkarte.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie im Menü „Aktionen“ auf Rollup von MITRE ATT&CK-Informationen zu SI .
      Sie können mehrere erkennbare Elemente auswählen und dann ein Rollup der Informationen durchführen.
    5. Klicken Sie auf, um die Änderungen zu bestätigen Neu Laden .
      Das folgende Beispiel zeigt, wie ein erkennbares Element ausgewählt und ein Rollup durchgeführt wird MISPErgänzungsergebnisse zum Security Incident.
      Abbildung : 1. Rollup von MITRE-Informationen zu einem Security Incident
      Rollup von MITRE-Informationen zu einem Security Incident.

    Ergebnisse

    Sie können anzeigen MITRE-ATT&CKKarte, um zu bestätigen, dass die MISP-Anreicherungsergebnisse für den Security Incident zusammengefasst wurden.