Associer des MITRE-ATT&CK informations à des incidents de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Associez les MITRE-ATT&CK tactiques et techniques à l’incident de sécurité pour une meilleure analyse des incidents de sécurité et des menaces.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Ajoutez les MITRE-ATT&CK informations sur les tactiques et les techniques à l’incident de sécurité afin de pouvoir corréler vos informations sur l’incident de sécurité et les menaces pour une meilleure analyse. Par exemple, votre organisation peut recevoir des informations relatives aux tactiques, techniques et procédures (TTP) de la part de sources tierces, telles que Renseignements sur les menaces des rapports ou d’autres sources en dehors du Réponse aux incidents de sécurité. Vous ajoutez ensuite ces informations pour SIR améliorer la corrélation et l’analyse des menaces.

    Vous pouvez choisir de déployer MITRE-ATT&CK les informations automatiquement à partir des résultats d’extraction automatique de la recherche de menaces, à partir d’observables ou d’un incident de sécurité enfant vers un incident de sécurité. Pour le déploiement automatique sur les incidents de sécurité, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque recherche de menace ou observable.

    Procédure

    1. Accédez à la Tout > Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez enrichir avec les MITRE-ATT&CK informations.
    3. Cliquez sur le lien connexe Associer la technique MITRE ATT&CK .
      Le volet Associer la technique MITRE ATT&CK s’affiche.

      Cette illustration montre comment accéder à la liste connexe et rechercher Associer MITRE-ATT&CK une technique, examiner l’ATT&CK d’entreprise source, ajouter un impact tactique et ajouter une technique d’arrêt/redémarrage du système.

    4. Sélectionnez la source.
      Remarque :
      Seules les collections et matrices activées apparaissent dans la liste source.
      Les tactiques et techniques associées à la source peuvent être sélectionnées. Vous pouvez également associer plusieurs sources.
    5. Sélectionnez la tactique et les techniques.
    6. Facultatif : Examinez les informations en fonction de leur pertinence par rapport à l’incident de sécurité et procédez comme suit :
      • Pour supprimer complètement l’association, cliquez sur l’icône de la corbeille. Cliquez sur cette icône pour supprimer la source et ses tactiques et techniques associées.
      • Pour supprimer une tactique, cliquez sur l’icône moins en regard de celle-ci.
      • Pour supprimer une technique, cliquez sur l’icône x en regard de la technique.
    7. Cliquez sur Enregistrer.

    Résultats

    Les MITRE-ATT&CK informations sont associées à l’incident de sécurité. Vous pouvez maintenant visualiser les informations associées dans la carte MITRE ATT&CK.

    Associer des MITRE-ATT&CK informations à des incidents de sécurité clôturés

    Vous pouvez désormais associer MITRE-ATT&CK des tactiques et des techniques aux incidents de sécurité fermés pour une meilleure analyse des incidents de sécurité et des menaces.

    Utilisation de la carte pour afficher les MITRE-ATT&CK informations connexes dans un incident de sécurité

    Vous pouvez utiliser la MITRE-ATT&CK carte pour afficher les MITRE-ATT&CK informations connexes dans un incident de sécurité.

    Une fois que les informations ont été déployées à partir d’une recherche de menace, d’un observable ou d’une intégration SIEM, elles sont ajoutées à l’incident de sécurité. Ensuite, les informations agrégées sont présentées dans la MITRE-ATT&CK carte. La carte MITRE ATT&CK offre deux vues :

    • Vue du navigateur : cette vue, qui est similaire au MITRE-ATT&CK navigateur, affiche toutes les techniques qui ont été ajoutées ou déployées manuellement à partir des tables de recherche d’observables ou de menaces. Afficher l’origine des techniques Affiche la source de la technique si elle a été déployée manuellement ou via une source. Afficher l’ID affiche l’ID de la technique.

      L’illustration suivante montre comment accéder à la vue du navigateur de carte MITRE ATT&CK . En cliquant sur l’un des liens disponibles, les informations s’ouvrent dans le Renseignements sur les menaces module.

    • Vue de listes : cette vue affiche les données sous forme de liste ou de tableau. Vous pouvez afficher toutes les données réparties dans différentes tables et groupes dans cette vue.

      L’illustration suivante montre comment accéder à la vue de liste de cartes MITRE ATT&CK. En cliquant sur l’un des liens disponibles, les informations s’ouvrent dans le Renseignements sur les menaces module.