Richten Sie ein MITRE-ATT&CKFramework

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Aktivieren Sie MITRE-ATT&CKProfil und richten Sie eine geplante Aufgabe ein, damit Sie einrichten können MITRE-ATT&CKSammlungen für die Bedrohungserkennung in Ihrer Organisation.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Strukturierter Ausdruck Von Bedrohungsinformationen ( STIX™) Ist eine Sprache zur standardisierten und strukturierten Beschreibung von Informationen zu Cyberbedrohungen. Verwendung von STIX-Daten und vertrauenswürdigem automatisierten Austausch von Indikatorinformationen ( TAXII™) Profile, Sicherheitsteams können gemeinsam genutzte Cyberbedrohungsinformationen verwenden, um Bedrohungen zu isolieren, die zuvor von Ihrem Unternehmen und aus anderen Quellen identifiziert wurden.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > TAXII-Profilean.
      Sie sehen die verfügbaren TAXIIProfile.
    2. Klicken Sie auf MITRE ATT&CK Profil, das mit dem Basissystem bereitgestellt wird.

      Threat Intelligence: MITRE ATT&CK-Profil.
    3. Zum Aktivieren von TAXIISammlung, legen Sie fest Aktiv Option auf „wahr“ für TAXIISammlung, die für Ihre Organisation relevant ist (Enterprise ATT&CK, Mobile ATT&CK oder ICATT&CK).
      TAXII-Sammlung Beschreibung
      ATT&CK für Unternehmen Beschreibt das Verhalten und die Aktionen, die ein Angreifer unternimmt, um ein Unternehmensnetzwerk und eine Cloud zu kompromittieren und in diesem zu arbeiten.
      Hinweis:
      Die Matrix vor ATT&CK wurde von veraltet MITREUnd wird mit der Enterprise-Matrix zusammengeführt.
      ATT&CK mobil Beschreibt das Verhalten und die Aktionen von Angreifern, die sich auf Mobilgeräte konzentrieren.
      ICS ATT&CK Beschreibt die Aktionen, die ein Angreifer beim Betrieb in einem ICs-Netzwerk (Industrial Control Systems) ausführt.
    4. Um die Sammlung regelmäßig zu aktualisieren, legen Sie fest Ausführen Option entsprechend Ihrer Organisation.
      Standardmäßig ist diese Option auf „bei Bedarf“ festgelegt.
      Hinweis:
      1. Sammlungen werden als Teil von verpackt Threat IntelligenceCore-Plugin. Durch die Installation oder Aktualisierung von Threat Intelligence-Support allgemein – Version 12,0 oder höher und Threat Intelligence – Version 12,0 oder höher wird sichergestellt, dass Ihre Erfassungsdaten automatisch ausgefüllt werden.
      2. Aktivieren Sie TAXIISammlung nur für die Sammlung, die Sie in Ihrer Organisation verwenden möchten, und deaktivieren Sie die anderen Sammlungen. Wenn Sie beispielsweise die Enterprise ATT&CK-Matrix verwenden möchten, aktivieren Sie Enterprise ATT&CK auf der TAXIISammlungsebene und auf der Matrizen Ebene. Deaktivieren Sie die anderen Mobile ATT&CK- und ICs ATT&CK-Matrizen in TAXIISammlung und auf Matrizenebene.
      3. In TAXIIZugehörige Listen für Sammlungen: Wenn Sie die Option „Ausführen“ auf „täglich“ auswählen, tritt ein Fehler auf, und die Option ist standardmäßig auf „bei Bedarf“ festgelegt. Dieser Fehler tritt beim Planen von auf MITRE-ATT&CKDie tägliche Datenaktualisierung ist beschränkt, um die Last auf zu optimieren MITREServer. Außerdem MITREAktualisiert die ATT&CK-Daten nur zweimal im Jahr.
      4. Die TAXIISammlungen werden nur aktualisiert, wenn Sie aktivieren TAXIISammlung.
      5. Aktualisierungen vorhandener Sammlungen können von abgerufen werden MITREServer, indem die Ausführungshäufigkeit in jeder Sammlung geplant wird.
      6. Die Anpassungen, die Sie an vornehmen MITRE-ATT&CKRepository-Daten (Malware, Gruppe, Risikominderung und Toolobjekte in einer Technik) werden während geplanter Updates gespeichert.
      7. MITREAktualisiert MITRE-ATT&CKKnowledge Base, in der einige Objekte als widerrufen oder veraltet identifiziert werden, neue Objekte hinzugefügt oder vorhandene Objekte geändert werden. Wenn MITREWiderruft jede Taktik oder Technik. Dann werden diese Objekte in als widerrufen markiert Now Platform. Die widerrufenen Objekte werden im Repository aufbewahrt, sind jedoch nicht zur Verwendung in verfügbar Now Platform.

    Nächste Maßnahme

    Nachdem das Setup des TAXII-Profils abgeschlossen ist, wird MITRE-ATT&CKRepository-Daten werden in regelmäßigen Abständen in importiert Now Platform®. Sie können diese Daten anzeigen, indem Sie zu navigieren MITRE ATT&CK-Repository > Matrizen und MITRE ATT&CK-Repository > Technikenan.