Führen Sie mit eine Linkanalyse und Bedrohungssuche durch MITRE-ATT&CK Bestimmte Filter

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Korrelieren und führen Sie eine Linkanalyse von erkennbaren Elementen, Security Incidents und durch MITRE-ATT&CK Zugehörige Informationen, damit Ihre Organisation mit der Suche nach Bedrohungen beginnen kann.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.Mitre_Analyst, sn_si.read

    Warum und wann dieser Vorgang ausgeführt wird

    Nachdem Sie die Security Incidents mit zugeordnet haben MITRE-ATT&CK Informationen können Sie verwenden MITRE-ATT&CK Spezifische Filter für die Bedrohungssuche. Verwenden Sie MITRE-ATT&CK Filter mit vorhandenem Security Incident Response Filter zum Korrelieren und Durchführen einer Linkanalyse.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigenan.
    2. Klicken Sie Auf Aktualisieren Sie Die Personalisierte Liste Zum Hinzufügen von MITRE Spalten.
    3. Wählen Sie eine Filterbedingung aus, damit Sie anzeigen können MITRE Zugehörige Informationen und Zuordnungen zu Security Incidents oder erkennbaren Elementen:
      • MITRE-ATT&CK Angreifergruppe
      • MITRE-ATT&CK Datenquelle
      • MITRE-ATT&CK Verfahren (Malware)
      • MITRE-ATT&CK Verfahren (Tools)
      • MITRE-ATT&CK Taktik
      • MITRE-ATT&CK Technik
    4. Erstellen Sie eine Filterbedingung, die auf den obigen Kriterien basiert, und klicken Sie auf Ausführen Dient zum Durchführen einer Linkanalyse oder Korrelation zwischen Security Incidents, erkennbaren Elementen und MITRE-ATT&CK Zugehörige Informationen.
      Hinweis:
      Die MITRE-ATT&CK Daten werden als Zeichenfolge gespeichert und können nur verwendet werden Enthält Als Operator für Filterbedingungen.

      Wenn Sie beispielsweise überprüfen möchten, dass ein Konfigurationselement (Configuration Item, CI) gefährdet ist, wählen Sie ein CI aus. Anschließend korrelieren Sie das CI mit vorhandenen Techniken, indem Sie einen hinzufügen MITRE-ATT&CK Technik-ID. Sie können dann mit dem Erstellen Ihrer Filterkriterien fortfahren, um die Informationen zu korrelieren und die Bedrohungssuche zu ermöglichen.

      MITRE-Filterbedingungen für die Bedrohungsanalyse.