Effectuer une analyse des liens et une chasse aux menaces à l’aide MITRE-ATT&CK de filtres spécifiques

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Corrélez et effectuez une analyse des liens des observables, des incidents de sécurité et MITRE-ATT&CK des informations connexes afin que votre organisation puisse commencer à rechercher les menaces.

    Avant de commencer

    Rôle requis : sn_ti.mitre_analyst, sn_si.read

    Pourquoi et quand exécuter cette tâche

    Une fois que vous avez associé les incidents de sécurité à MITRE-ATT&CK des informations, vous pouvez utiliser les filtres spécifiques pour la chasse aux MITRE-ATT&CK menaces. Utilisez les MITRE-ATT&CK filtres avec les filtres existants Réponse aux incidents de sécurité pour corréler et effectuer une analyse de liens.

    Procédure

    1. Accédez à la Tout > Incidents de sécurité > Afficher les incidents.
    2. Cliquez sur Mettre à jour la liste personnalisée pour ajouter les MITRE colonnes.
    3. Sélectionnez une condition de filtre afin de visualiser MITRE les informations connexes et les associations avec des incidents de sécurité ou des observables :
      • MITRE-ATT&CK Groupe d’adversaires
      • MITRE-ATT&CK Source de données
      • MITRE-ATT&CK Procédure (programme malveillant)
      • MITRE-ATT&CK Procédure (outils)
      • MITRE-ATT&CK Tactique
      • MITRE-ATT&CK Technique
    4. Créez une condition de filtre basée sur les critères ci-dessus et cliquez sur Exécuter pour effectuer une analyse de lien ou une corrélation entre les incidents de sécurité, les observables et MITRE-ATT&CK les informations connexes.
      Remarque :
      Les MITRE-ATT&CK données sont stockées sous forme de chaîne et vous ne pouvez utiliser contains que comme opérateur pour les conditions de filtre.

      Par exemple, si vous souhaitez vérifier qu’un élément de configuration (CI) est compromis, sélectionnez un CI. Vous pouvez ensuite corréler le CI avec les techniques présentes en ajoutant un MITRE-ATT&CK ID de technique. Vous pouvez ensuite continuer à développer vos critères de filtre pour corréler les informations et pour la chasse aux menaces.

      Conditions de filtre MITRE pour l’analyse des menaces.