Extraktionsmethode der MITRE ATT&CK-Technik

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Die Extraktionsmethode der MITRE ATT&CK-Technik beschreibt, wie die Extraktionsmethoden durchgeführt und die zugehörigen Techniken verifiziert werden.

    1. Die Extraktionsregeln für Datenquellen (Bedrohungssuchen sind nicht anwendbar) werden immer dann verarbeitet, wenn ein Quelldatensatz einer Entität (z. B. Quelle eines erkennbaren Elements oder einer Objektquelle) erstellt wird.
    2. Die Regeln gelten für alle Felder im Entitätsquelldatensatz (mit Ausnahme von Datums-, Zahlenfeldern, Nutzungskategorie und Angriffsphasen).
    3. Die extrahierten MITRE-Techniken sind dem entsprechenden Entitätsdatensatz zugeordnet, und Sie zeigen die Datensätze in der zugehörigen Liste „MITRE-Techniken“ in an Zugehörige Datensätze Registerkarte.
      Hinweis:
      Die MITRE-Techniken werden zuerst extrahiert und dem Entitätsquelldatensatz zugeordnet. Anschließend werden die Zuordnungen der Techniken dedupliziert und zum Datensatz der übergeordneten Entität aggregiert.

    Zeigen Sie MITRE-Techniken an

    1. Navigieren zu Threat Intel-BibliothekJeder Entitätsdatensatz (erkennbares Element oder Objekt), der den verwendet.
    2. Klicken Sie auf Zugehörige Datensätze Registerkarte.
    3. Wählen Sie Aus MITRE-Techniken Und zeigen Sie die zugehörigen Techniken an, die extrahiert werden.
    4. Klicken Sie auf die MITRE-Technik-ID, um den Zuordnungsdatensatz der MITRE-Technik anzuzeigen und darauf zuzugreifen. Die Quellen In der Spalte werden alle Quellen angezeigt (auch durch Kommas getrennt, wenn eine oder mehrere Quellen vorhanden sind), die dem Entitätsquelldatensatz zugeordnet sind, für den die MITRE-Extraktion durchgeführt wird.
      Hinweis:
      Wenn dieselben Taktik- und Technik-IDs aus mehreren Quellen extrahiert werden, wird nur ein Datensatz der Taktik- und Technikzuordnung und der angezeigt Quellen In der Spalte werden alle extrahierten Quellen angezeigt.
    5. Zur Fehlerbehebung können Sie die MITRE-Extraktionsregel anzeigen, die für die Extraktion der Taktik- und Technikzuordnungen verantwortlich war, indem Sie zu navigieren Technikquellenbeziehungen .
      Hinweis:
      Stellen Sie sicher, dass Sie hinzufügen Extraktionsregel Spalte mit Listenaktionen Symbol, falls die Spalte „Extraktionsregel“ nicht angezeigt wird.
    Die Extraktionsregeln für Bedrohungssuchen werden immer dann verarbeitet, wenn der Ergebnisdatensatz der Bedrohungssuche für ein erkennbares Element erstellt wird, für das Bedrohungssuche ausführen Die Aktion wird ausgelöst, und die Extraktion wird nur für die Rohdaten-Nutzlast (Feld „Rohdaten“) ausgeführt, die im Ergebnisdatensatz der Bedrohungssuche verfügbar ist.
    Hinweis:
    • Wenn in der extrahierten Entitätsquelle (erkennbares Element oder Objekt) oder dem Bedrohungssuchergebnis für eine MITRE ATT&CK-Technik keine Taktik-ID vorhanden ist, werden die Technikzuordnungen für alle Taktiken erstellt, die der entsprechenden Technik im MITRE-Repository zugeordnet sind.
    • Wenn in der extrahierten Entitätsquelle (erkennbares Element oder Objekt) oder dem Bedrohungssuchergebnis für eine MITRE ATT&CK-Technik eine Taktik-ID vorhanden ist, werden die Technikzuordnungen nur für alle extrahierten Taktiken erstellt, die der entsprechenden Technik im MITRE-Repository zugeordnet sind.