Agrandir les MITRE-ATT&CK données
Étendre les données du MITRE-ATT&CK référentiel en Now Platform les enrichissant.
Avant de commencer
- sn_ti.admin : supprimer l’accès
- sn_ti.read : accès en lecture
- sn_ti.write : créer, accès en écriture
Pourquoi et quand exécuter cette tâche
Vous pouvez étendre les objets Malware, Group, Atténuation et Outil à une technique du MITRE-ATT&CK référentiel.
Vous pouvez créer un objet et établir une relation entre une technique et le nouvel objet dans le module Référentiel MITRE ATT&CK, mais vous ne pouvez pas définir le type de relation dans ce module. Pour plus d’informations sur la définition des types de relations, voir Relations d’objet à objet. Pour définir un type de relation, accédez à l’icône module.
Si vous mappez le type de relation entre une technique existante et un objet existant, vous devez définir la technique en tant qu’objet cible et l’objet en tant qu’objet source. Pour ce faire, accédez à l’onglet module.
Vous pouvez créer un groupe et l’associer à un modèle d’attaque, mais dans le référentiel MITRE ATT&CK, vous pouvez uniquement établir la relation entre le groupe et le modèle d’attaque. Pour définir le type de relation objet à objet, vous devez le faire dans le référentiel IoC.
Procédure
-
Cliquez sur une technique ou une sous-technique pour afficher toutes les informations associées à cette technique.
Dans l’illustration suivante, vous pouvez voir que la technique Botnet (T1584.005) n’est associée à aucun groupe. Si vous disposez d’informations complémentaires sur une technique ou une sous-technique, vous pouvez l’enrichir en ajoutant ou en modifiant ces informations.
-
Cliquez sur une liste connexe pour enrichir ses données et l’associer à un nouveau groupe.
Dans l’illustration suivante, un groupe, Custom1, a été associé à la sous-technique du botnet.