Associer des MITRE-ATT&CK informations à des observables

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Associez MITRE-ATT&CK des tactiques et des techniques à un observable pour une meilleure analyse des incidents de sécurité et des menaces à un niveau granulaire.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Certains SIEM peuvent fournir des MITRE-ATT&CK informations avec des événements, des alertes ou des observables. Pour associer les MITRE-ATT&CK informations à un niveau granulaire, vous pouvez ajouter les informations avec un observable.

    Vous pouvez choisir de déployer automatiquement les MITRE-ATT&CK informations des observables vers un incident de sécurité. Pour le déploiement automatique des observables dans les incidents de sécurité, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque observable.

    Procédure

    1. Accédez à la Tous > Incidents de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez enrichir avec les MITRE-ATT&CK informations.
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Observables associés .
    4. Pointez sur l’observable que vous souhaitez associer, cliquez avec le bouton droit et sélectionnez Associer la technique MITRE ATT&CK.

      Dans l’illustration ci-dessous, vous pouvez voir comment naviguer à partir de la liste connexe pour associer la technique MITRE ATT&CK, examiner la source et ajouter une tactique et une technique.

      Associez des informations MITRE ATT&CK à un observable.
    5. Dans les listes de sources, examinez la source.
      Remarque :
      Seules les collections et les matrices qui ont été activées apparaissent dans la liste source.
    6. Passez en revue la tactique et les techniques, et ajoutez-les ou supprimez-les en fonction de leur pertinence par rapport à l’observable.
    7. Cliquez sur Enregistrer.
      Les tactiques et techniques que vous avez ajoutées apparaissent dans la MITRE-ATT&CK colonne Informations de la liste connexe Observables.
    8. Sélectionnez l’observable, puis dans le menu Actions, cliquez sur Déployer les informations MITRE ATT&CK sur le SI.
      Si vous avez activé Déploiement automatique de MITRE-ATT&CK Informations des observables vers l’incident de sécurité, les informations sont automatiquement répercutées. Si vous n’avez pas activé le déploiement automatique, vous devez le faire manuellement.

      L’illustration suivante montre comment sélectionner un observable et déployer les MITRE-ATT&CK informations dans un incident de sécurité.

      Déployer manuellement les informations MITRE ATT&CK de l’observable vers l’incident de sécurité.
    9. Pour afficher une vue agrégée des techniques associées aux observables, sélectionnez deux observables ou plus dans la liste, puis dans le menu Actions de la liste des lignes sélectionnées, cliquez sur Afficher les informations MITRE ATT&CK.

    Résultats

    Une vue agrégée des informations MITRE ATT&CK pour les observables sélectionnés s’affiche.