Gérer les techniques

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Gérez les techniques qui ont été importées à partir des MITRE TAXII collections. Les techniques contiennent différentes façons dont les attaquants se sont développés pour employer une tactique donnée. Vous pouvez examiner et désactiver les techniques qui ne sont pas pertinentes pour votre organisation. En , les STIXtechniques sont connues sous le nom de modèles d’attaque.

    Avant de commencer

    Rôle requis :
    • sn_ti.admin : supprimer l’accès
    • sn_si.admin : créer, écrire, supprimer l’accès
    • sn_ti.read : accès en lecture
    • sn_ti.write : créer, accès en écriture

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Référentiel MITRE ATT&CK > Techniques.
      Consultez la liste des techniques et sous-techniques.
      La liste des techniques et sous-techniques est maintenant répertoriée.
    2. Pour examiner et désactiver les techniques qui ne sont pas pertinentes pour votre organisation, accédez à la vue de liste pour la technique sélectionnée et, sous la colonne Actif, mettez à jour le paramètre sur faux et enregistrez-le.
      Désactivez les techniques qui ne sont pas utilisées par les autres objets du MITRE-ATT&CK référentiel.
    3. Pour prioriser une technique, affectez une priorité dans le champ Priorité pertinente (personnalisée).
      La priorité pertinente du système de base est définie sur aucune. Le champ Priorité pertinente (personnalisée) n’est MITRE-ATT&CK TAXII pas importé des collections mais un champ personnalisé introduit dans le Now Platformfichier . Vous pouvez utiliser les informations de priorité pertinentes pour filtrer et hiérarchiser les techniques dans les tableaux de bord, pendant le mappage des sources de données ou lors de l’analyse de la carte thermique.
    4. Cliquez sur une technique pour afficher toutes les informations associées à cette technique.

      Dans l’illustration ci-dessous, vous pouvez afficher les détails de chaque technique de suppression d’accès au compte, son ID, sa source et d’autres informations connexes.

      Affichez la technique de modèle d’attaque et ses informations connexes.
      Remarque :
      L’élément Source de données : composant de données introduit par MITRE remplace le champ Source de données précédent. Le composant de données fournit une sous-couche supplémentaire de contexte aux sources de données. Si votre MITRE-ATT&CK référentiel contient les anciennes TAXII collections, vous pouvez afficher le champ Source de données. Sinon, vous pouvez afficher les sources de données avec le contexte supplémentaire des composants de données dans le champ Source de données : composant de données. Vous pouvez afficher le nouveau champ de composant de données uniquement lorsque la source est Enterprise ATT&CK. Pour plus d’informations, consultez Mappage des composants de données.
    5. Pour voir comment ces objets sont liés, cliquez sur Afficher les relations.

    Que faire ensuite

    Vous pouvez étendre les informations dans certains de ces objets de liste connexes. Par exemple, vous pouvez ajouter de nouvelles informations pour le groupe, l’atténuation et les références externes.