Configurer le cadre de MITRE-ATT&CK travail

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Activez le MITRE-ATT&CK profil et configurez une tâche planifiée afin de pouvoir configurer MITRE-ATT&CK des collections pour la détection des menaces dans votre organisation.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Pourquoi et quand exécuter cette tâche

    L’expression structurée d’informations sur les menaces (STIX™) est un langage permettant de décrire les informations sur les cybermenaces de manière standardisée et structurée. À l’aide des données STIX et des profils d’échange automatisé d’informations sur les indicateurs (TAXII™), les équipes de sécurité peuvent utiliser les informations partagées sur les cybermenaces pour isoler les menaces qui ont été précédemment identifiées par votre entreprise et provenant d’autres sources.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Sources > Profils TAXII.
      Les profils disponibles TAXII s’affichent.
    2. Cliquez sur le profil MITRE ATT&CK fourni avec le système de base.

      Threat Intelligence : profil MITRE ATT&CK.
    3. Pour activer la TAXII collection, définissez l’option Actif sur vrai pour la collection pertinente pour votre TAXII organisation (ATT&CK Enterprise, ATT&CK Mobile ou ICS ATT&CK).
      Collecte TAXII Description
      Enterprise ATT&CK Décrit les comportements et les actions qu’un adversaire adopte pour compromettre et opérer dans un réseau d’entreprise et dans le cloud.
      Remarque :
      La matrice pré-ATT&CK a été déconseillée par MITRE la matrice Entreprise et a été fusionnée avec elle.
      Mobile ATT&CK Décrit les comportements et actions des adversaires qui se concentrent sur les équipements mobiles.
      ICS ATT&CK Décrit les actions qu’un adversaire effectue lorsqu’il opère au sein d’un réseau de systèmes de contrôle industriel (ICS).
    4. Pour actualiser périodiquement la collection, définissez l’option Exécuter en fonction de votre organisation.
      Par défaut, cette option est définie sur Sur demande.
      Remarque :
      1. Les collections sont empaquetées dans le cadre du module d’extension Renseignements sur les menaces Core. L’installation ou la mise à jour de Threat Intelligence Support Common : version 12.0 ou supérieure et de Threat Intelligence : version 12.0 ou supérieure garantit le remplissage automatique des données de vos collections.
      2. Activez la TAXII collection uniquement pour la collection que vous avez l’intention d’utiliser dans votre organisation et désactivez les autres collections. Par exemple, si vous avez l’intention d’utiliser la matrice ATT&CK d’entreprise, activez ATT&CK d’entreprise au niveau de la TAXII collection et au niveau des matrices . Désactivez les autres matrices Mobile ATT&CK et ICS ATT&CK au niveau de la TAXII collection et au niveau des matrices.
      3. Dans les TAXII listes connexes Collectes, si vous sélectionnez l’option Exécuter quotidiennement, une erreur se produit et l’option est définie par défaut sur Sur demande. Cette erreur se produit, car la planification quotidienne de l’actualisation MITRE-ATT&CK des données est limitée afin d’optimiser la charge sur les MITRE serveurs. En outre, MITRE les données ATT&CK ne sont mises à jour que deux fois par an.
      4. Les TAXII collections ne sont pas actualisées sauf si vous activez la TAXII collection.
      5. Les mises à jour des collections existantes peuvent être récupérées à partir du MITRE serveur en planifiant la fréquence d’exécution dans chaque collection.
      6. Les personnalisations que vous apportez aux MITRE-ATT&CK données du référentiel (objets Malware, Group, Atténuation et Outil à une technique) sont enregistrées lors des mises à jour planifiées.
      7. MITRE Met à jour la MITRE-ATT&CK base de connaissances où certains objets sont identifiés comme révoqués ou déconseillés, de nouveaux objets sont ajoutés ou des objets existants sont modifiés. Si MITRE une tactique ou une technique est révoquée, ces objets sont marqués comme révoqués dans le Now Platformfichier . Les objets révoqués sont conservés dans le référentiel, mais ne peuvent pas être utilisés dans le Now Platformfichier .

    Que faire ensuite

    Une fois la configuration du profil TAXII terminée, les données du MITRE-ATT&CK référentiel sont importées à intervalles réguliers dans le Now Platform®. Vous pouvez afficher ces données en accédant à Référentiel MITRE ATT&CK > Matrices et Référentiel MITRE ATT&CK > Techniques.