Agrandir les MITRE-ATT&CK données
Étendez les données du MITRE-ATT&CK référentiel dans le Now Platform en les enrichissant.
Avant de commencer
- sn_ti.admin : supprimer l’accès
- sn_ti.read : accès en lecture
- sn_ti.write : créer, accès en écriture
Pourquoi et quand exécuter cette tâche
Vous pouvez étendre les objets Malware, Group, Mitigation et Tool à une technique du MITRE-ATT&CK référentiel.
Vous pouvez créer un objet et établir une relation entre une technique et le nouvel objet dans le module Référentiel MITRE ATT&CK, mais vous ne pouvez pas définir le type de relation dans ce module. Pour plus d’informations sur la définition des types de relations, reportez-vous à la rubrique Relations objet à objet. Pour définir un type de relation, accédez au Module.
Si vous mappez le type de relation entre une technique existante et un objet existant, vous devez définir la technique en tant qu’objet cible et l’objet en tant qu’objet source. Pour ce faire, accédez à l’onglet Module.
Vous pouvez créer un groupe et l’associer à un modèle d’attaque, mais dans le référentiel MITRE ATT&CK, vous ne pouvez établir que la relation entre le groupe et le modèle d’attaque. Pour définir le type de relation objet-objet, vous devez le faire dans le référentiel IoC.
Procédure
-
Cliquez sur une technique ou sous-technique pour afficher toutes les informations associées à cette technique.
Dans l’illustration suivante, vous pouvez voir que la technique Botnet (T1584.005) n’est associée à aucun groupe. Si vous disposez d’informations supplémentaires sur une technique ou une sous-technique, vous pouvez l’enrichir en ajoutant ou en modifiant les informations.
-
Cliquez sur une liste connexe pour enrichir ses données et l’associer à un nouveau groupe.
Dans l’illustration suivante, un groupe, Custom1, a été associé à la sous-technique Botnet.