특정 필터를 사용하여 MITRE-ATT&CK 링크 분석 및 위협 헌팅 수행

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • 옵저버블, 보안 인시던트 및 MITRE-ATT&CK 관련 정보의 상관 관계를 지정하고 링크 분석을 수행하여 조직에서 위협 헌팅을 시작할 수 있도록 합니다.

    시작하기 전에

    필요한 역할: sn_ti.mitre_analyst, sn_si.read

    이 태스크 정보

    보안 인시던트를 MITRE-ATT&CK 정보와 연결한 후에는 위협 헌팅을 MITRE-ATT&CK 위한 특정 필터를 사용할 수 있습니다. MITRE-ATT&CK 기존 보안 인시던트 응답 필터와 필터를 사용하여 상관 관계를 지정하고 링크 분석을 수행합니다.

    프로시저

    1. 다음으로 이동 모두 > 보안 인시던트 > 모든 인시던트 표시.
    2. 개인 설정 목록 업데이트를 클릭하여 열을 추가합니다MITRE.
    3. 관련 정보 및 보안 인시던트 또는 옵저버블과의 연결을 볼 MITRE 수 있도록 필터 조건을 선택합니다.
      • MITRE-ATT&CK 반대 그룹
      • MITRE-ATT&CK 데이터 소스
      • MITRE-ATT&CK 절차(맬웨어)
      • MITRE-ATT&CK 절차(도구)
      • MITRE-ATT&CK 전술
      • MITRE-ATT&CK 기술
    4. 위의 기준에 따라 필터 조건을 생성하고 실행을 클릭하여 링크 분석을 수행하거나 보안 인시던트, 옵저버블, MITRE-ATT&CK 관련 정보 간의 상관관계를 지정합니다.
      주:
      MITRE-ATT&CK 데이터는 문자열로 저장되며 필터 조건의 연산자로만 contains를 사용할 수 있습니다.

      예를 들어 CI(구성 항목)가 손상되었는지 검토하려면 CI를 선택합니다. 그런 다음 기술 ID를 추가하여 CI와 현재 기술의 상관관계를 MITRE-ATT&CK 지정합니다. 그런 다음 정보의 상관 관계 지정 및 위협 헌팅에 대한 필터 기준을 계속 작성할 수 있습니다.

      위협 분석을 위한 MITRE 필터 조건입니다.