데이터 소스 및 데이터 구성요소 매핑 정의
최신 TAXII 컬렉션을 사용하고 데이터 소스, 데이터 구성요소 및 다양한 기술 간의 관계를 유지하려는 경우 데이터 구성요소 매핑을 사용합니다. 데이터 원본을 데이터 구성요소의 추가 컨텍스트와 매핑하여 데이터 원본에 컨텍스트의 추가 하위 계층을 제공하여 악의적 동작을 MITRE-ATT&CK 더 잘 이해할 수 있도록 합니다.
시작하기 전에
- sn_ti.admin, sn_si.admin: 쓰기, 삭제 권한
- sn_ti.read: 읽기 액세스
이 태스크 정보
데이터 소스와 데이터 구성요소를 매핑하면 데이터 소스 또는 구성요소와 조직과 관련된 기술에 대한 가시성을 확보할 수 있습니다.
예를 들어 조직에서 7가지 기술에 중점을 두는 경우 이러한 소스를 모니터링하려면 5개의 데이터 소스와 10개의 데이터 구성요소가 필요할 수 있습니다. 내부 도구를 평가한 결과 조직에 2개의 데이터 원본과 4개의 데이터 구성 요소가 없는 것으로 나타났습니다. 이 매핑 연습은 데이터 소스, 구성요소 및 기술, 조직과의 관련성에 대한 가시성을 제공하고 범위의 격차를 식별할 수 있도록 합니다. 따라서 올바른 데이터 소스와 경보 센서에 투자를 집중하여 악의적 위협을 탐지하고 완화할 수 있습니다.
프레임워크에는 MITRE-ATT&CK 데이터 소스에 대해 업데이트된 구조(데이터 소스: 데이터 구성요소)가 포함되어 있습니다. 이 새로운 형태의 데이터 소스는 데이터 소스에 대한 추가 컨텍스트를 제공합니다. 데이터 원본 개체는 데이터 원본의 이름뿐만 아니라 수집된 데이터(파일, 프로세스, 네트워크 트래픽 등)에 대한 주요 세부 정보 및 악의적 동작을 탐지하는 데 필요한 특정 값 또는 속성을 제공합니다.
다음 그림에서는 데이터 원본 및 데이터 구성 요소에 대한 구조 표현을 MITRE-ATT&CK STIX™ 보여 줍니다. 사용자 지정 STIX™ 개체로 캡처된 데이터 소스와 데이터 구성요소를 모두 볼 수 있습니다. 그림에서는 각 데이터 소스에 하나 이상의 데이터 구성요소가 포함되어 있고 각 데이터 구성요소가 하나 이상의 기술을 탐지함을 보여줍니다.
리포지토리에 이전 TAXII 컬렉션이 포함되어 있고 데이터 원본을 다양한 기술에 매핑한 경우 MITRE-ATT&CK데이터 원본 매핑을 계속 사용할 수 있습니다. 그러나 최신 TAXII 컬렉션을 사용하고 데이터 소스, 데이터 구성요소 및 다양한 기술 간의 관계를 유지하려는 경우 데이터 구성요소 매핑을 사용합니다.
프로시저
-
다음으로 이동 .
다음 그림에서는 컬렉션 업데이트를 기반으로 하는 데이터 소스 및 데이터 구성요소와 함께 전술, ID, 기술 목록을 보여줍니다.
필드 설명 방법 상대방의 목표 또는 작업 수행 이유입니다. ID 기술의 고유한 정체성. 기술 공격자가 작업을 수행하여 전술적 목표를 달성하는 방법입니다. 데이터 소스 기술과 연결된 데이터 소스입니다. 데이터 구성요소 데이터 소스와 연결된 데이터 구성요소입니다. 데이터 구성요소에는 상위 데이터 소스가 하나만 있을 수 있습니다. 데이터 구성요소 해지됨 데이터 구성요소가 지식베이스에서 MITRE-ATT&CK 해지되었는지 식별합니다. 탐지 도구 사용되는 기술을 탐지하여 데이터 소스를 보완하는 도구입니다. 탐지 도구는 의 SIR경보 센서와 매핑됩니다. 설명 데이터 소스 및 데이터 구성요소 매핑에 대한 설명입니다. 해지함 기술 매핑에 대한 데이터 구성요소가 에 의해 MITRE-ATT&CK취소되는지 여부를 식별합니다. -
다음 단계에 따라 데이터 구성요소를 추가합니다.
- 다음으로 이동 .
- 데이터 소스를 수정하려는 기술(데이터 구성요소 정보)을 클릭합니다.
- 데이터 원본 잠금 해제: 데이터 구성 요소입니다.
- 조회 목록을 사용하여 데이터 구성요소를 선택합니다 MITRE-ATT&CK .
- 잠금 데이터 원본: 데이터 구성요소입니다.
- 업데이트를 클릭합니다.
다음 그림에서는 데이터 구성요소를 추가하는 방법을 보여 줍니다.