Supportstufe

Support: Standard.

Funktionsweise der Domänentrennung MITRE-ATT&CK

Führen Sie die folgenden Schritte aus, um die Domänentrennung zu erreichen:

• Erstellen Sie einen Anwender mit den erforderlichen Rollen „sn_ti.admin“ in der jeweiligen Domäne.
• Replizieren Sie Folgendes für jede Domäne:
  • TAXII Sammlungen
    Hinweis:

    • Aktivieren Sie die Sammlungen nicht in der globalen Domäne. Aktivieren Sie nur die Sammlungen, die repliziert und in Ihrer Domäne verfügbar sind.
    • Ändern Sie Ausführen als Feld in den Sammlungen für den Anwender mit der Rolle sn_ti.admin in der jeweiligen Domäne.
  • Definition Der Technikabdeckung
  • Extraktionsregel für Technik
  • Erkennungsregeln: MITRE ATT&CK-Zuordnungen
  • Minderungsabdeckung
    • Kopieren Sie alle Definitionsdatensätze der Minderungsabdeckung.
    • Kopieren Sie den Rechner zur Verringerung der Abdeckung, oder erstellen Sie einen neuen Rechner für die jeweilige Domäne.
  • Bedrohungsgruppe: Heatmap-Definitionen Der Technik

TAXII-Sammlung replizieren

1. Navigieren zu Threat Intelligence > Quellen > TAXII-Profilean.
2. Verwenden Sie in der Header-Leiste die Domänenauswahl, um Ihre Domäne auszuwählen.
3. Wählen Sie die TAXII-Sammlung aus, die für Ihre Organisation relevant ist (Enterprise ATT&CK, Mobile ATT&CK oder ICS ATT&CK).
4. Klicken Sie mit der rechten Maustaste in die Kopfzeile, und wählen Sie aus Einfügen und beibehalten . Die doppelte TAXII-Sammlung wird unter der ausgewählten Domäne erstellt
5. Navigieren Sie zurück zum MITRE ATT&CK TAXII-Profil, um die doppelte TAXII-Sammlung anzuzeigen.

Die folgende Abbildung zeigt, wie Sie die Domäne TOP/Initech auswählen, die TAXII-Sammlung in der Domäne replizieren und die replizierte TAXII-Sammlung verifizieren.