Definieren Sie die Datenquellen- und Datenkomponentenzuordnung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie die Datenkomponentenzuordnung, wenn Sie die neueste verwenden TAXII Sammlungen, und Sie möchten eine Beziehung zwischen den Datenquellen, Datenkomponenten und den verschiedenen Techniken pflegen. Ordnen Sie die Datenquellen dem zusätzlichen Kontext von Datenkomponenten zu, der Datenquellen eine zusätzliche Unterebene des Kontexts bietet, mit der Sie das Verhalten von Angreifern in verstehen können MITRE-ATT&CK Besser.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Schreibzugriff, Löschzugriff
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Die Zuordnung der Datenquellen und Datenkomponenten bietet Einblick in die Datenquellen oder -Komponenten und die Techniken, die für Ihre Organisation relevant sind.

    Wenn sich Ihre Organisation beispielsweise auf 7 Techniken konzentriert, benötigen Sie möglicherweise 5 Datenquellen und 10 Datenkomponenten, um diese Quellen zu überwachen. Ihre Bewertung interner Tools zeigt, dass Ihre Organisation nicht über zwei Datenquellen und vier Datenkomponenten verfügt. Diese Zuordnungsübung bietet Einblick in die Datenquellen, Komponenten und Techniken, ihre Relevanz für Ihre Organisation und ermöglicht die Identifizierung der Abdeckungslücken. Sie können Ihre Investition daher auf die richtigen Datenquellen und Warnsensoren konzentrieren, um Bedrohungen durch Angreifer zu erkennen und zu mindern.

    Die MITRE-ATT&CK Framework enthält eine aktualisierte Struktur für die Datenquellen – Datenquelle: Datenkomponente. Diese neue Form der Datenquelle bietet den Datenquellen einen zusätzlichen Kontext. Das Datenquellenobjekt enthält den Namen der Datenquelle sowie wichtige Details zu den erfassten Daten (Datei, Prozess, Netzwerkverkehr usw.) und bestimmte Werte oder Eigenschaften, die zum Erkennen von Angreiferverhalten erforderlich sind.

    Die folgende Abbildung zeigt MITRE-ATT&CK STIX™ Strukturdarstellung für Datenquellen und Datenkomponenten. Sie können sowohl die Datenquellen als auch die Datenkomponenten anzeigen, die als anwenderdefiniert erfasst wurden STIX™ Objekte. Die Abbildung zeigt, dass jede Datenquelle eine oder mehrere Datenkomponenten enthält und jede Datenkomponente eine oder mehrere Techniken erkennt.

    Abbildung : 1. Allgemeine Struktur von Datenquellen und Datenkomponenten
    Diese Abbildung zeigt die allgemeine Struktur von Datenquellen und Datenkomponenten.

    Sie können weiterhin verwenden Datenquellenzuordnung Wenn Ihr MITRE-ATT&CK Repository enthält das alte TAXII Sammlungen und Sie haben Ihre Datenquellen verschiedenen Techniken zugeordnet. Verwenden Sie jedoch Datenkomponentenzuordnung Wenn Sie die neueste verwenden TAXII Sammlungen, und Sie möchten eine Beziehung zwischen den Datenquellen, Datenkomponenten und den verschiedenen Techniken pflegen.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Datenkomponentenzuordnungan.
      Die folgende Abbildung zeigt die Liste der Taktiken, IDs, Techniken zusammen mit den Datenquellen und Datenkomponenten basierend auf Ihren Sammlungsaktualisierungen.Die folgende Abbildung zeigt die Liste der Taktiken, Techniken, IDs sowie die Datenquellen und Datenkomponenten, die basierend auf Ihren Sammlungsaktualisierungen ausgefüllt wurden.
      Feld Beschreibung
      Taktik Ziel des Angreifers oder Grund für die Ausführung einer Aktion.
      ID Eindeutige Identität der Technik.
      Technik Wie ein Angreifer durch Ausführen einer Aktion ein taktisches Ziel erreicht.
      Datenquelle Datenquelle, die der Technik zugeordnet ist.
      Datenkomponente Datenkomponente, die der Datenquelle zugeordnet ist. Eine Datenkomponente kann nur eine übergeordnete Datenquelle haben.
      Datenkomponente widerrufen Gibt an, ob die Datenkomponente in widerrufen wurde MITRE-ATT&CKKnowledge Base.
      Erkennungstool Tool, das die Datenquelle durch Erkennung der verwendeten Techniken ergänzt. Das Erkennungstool wird dem Warnungssensor in zugeordnet SIR.
      Kommentar Beschreibung der Datenquelle und der Datenkomponentenzuordnung.
      Widerrufen Gibt an, ob die Datenkomponente für die Technikzuordnung von widerrufen wird MITRE-ATT&CK.
    2. Überprüfen Sie die aufgeführten Datenquellen und Datenkomponenten, und ändern Sie die Werte basierend auf Ihrer Umgebung.
    3. Führen Sie die folgenden Schritte aus, um eine Datenkomponente hinzuzufügen.
      1. Navigieren zu Threat Intelligence > MITRE ATT&CK-Administration > Technikenan.
      2. Klicken Sie auf eine Technik, für die Sie die Datenquelle ändern möchten: Informationen zur Datenkomponente.
      3. Datenquelle Entsperren: Datenkomponente.
      4. Verwenden Sie die Suchliste, um auszuwählen MITRE-ATT&CK Datenkomponenten.
      5. Datenquelle Sperren: Datenkomponente.
      6. Klicken Sie auf Aktualisieren.
      In der folgenden Abbildung sehen Sie, wie Datenkomponenten hinzugefügt werden.Diese Abbildung zeigt, wie Datenquellenkomponenten einer Technik zugeordnet werden.