Associer des MITRE-ATT&CK informations à des observables

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Associez MITRE-ATT&CK des tactiques et des techniques à un observable pour une meilleure analyse des incidents de sécurité et des menaces à un niveau granulaire.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Certains SIEM peuvent fournir des MITRE-ATT&CK informations avec des événements, des alertes ou des observables. Pour associer les MITRE-ATT&CK informations à un niveau granulaire, vous pouvez ajouter les informations à un observable.

    Vous pouvez choisir de déployer automatiquement les MITRE-ATT&CK informations des observables vers un incident de sécurité. Pour le déploiement automatique des observables sur les incidents de sécurité, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque observable.

    Procédure

    1. Accédez à la Tout > Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez enrichir avec les MITRE-ATT&CK informations.
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Observables associés .
    4. Pointez sur l’observable que vous souhaitez associer, cliquez avec le bouton droit de la souris et sélectionnez Associer la technique MITRE ATT&CK.

      Dans l’illustration suivante, vous pouvez voir comment naviguer à partir de la liste connexe pour associer la technique MITRE ATT&CK, examiner la source et ajouter une tactique et une technique.

      Associez des informations MITRE ATT&CK à un observable.
    5. Dans les listes sources, examinez la source.
      Remarque :
      Seules les collections et lesmatrices qui ont été activées apparaissent dans la liste source.
    6. Passez en revue la tactique et les techniques, et ajoutez-les ou supprimez-les en fonction de leur pertinence par rapport à l’observable.
    7. Cliquez sur Enregistrer.
      Les tactiques et techniques que vous avez ajoutées s’affichent dans la MITRE-ATT&CK colonne Informations de la liste connexe Observables.
    8. Sélectionnez l’observable, puis dans le menu Actions, cliquez sur Déployer les informations MITRE ATT&CK sur SI.
      Si vous avez activé Déploiement automatique de MITRE-ATT&CK Informations des observables à l’incident de sécurité, les informations sont automatiquement remontées. Si vous n’avez pas activé la reprise automatique, vous devez le faire manuellement.

      L’illustration suivante montre comment sélectionner un observable et déployer les informations dans un MITRE-ATT&CK incident de sécurité.

      Déployez manuellement les informations MITRE ATT&CK de l’observable vers l’incident de sécurité.
    9. Pour afficher une vue agrégée des techniques associées aux observables, sélectionnez deux observables ou plus dans la liste, puis dans le menu Actions de la liste des lignes sélectionnées, cliquez sur Afficher les informations MITRE ATT&ck.

    Résultats

    Une vue agrégée des informations MITRE ATT&CK pour les observables sélectionnés s’affiche.