Définir le mappage de la source de données et du composant de données

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Utilisez le mappage des composants de données si vous utilisez les dernières TAXII collections et si vous souhaitez maintenir une relation entre les sources de données, les composants de données et les différentes techniques. Mappez les sources de données avec le contexte supplémentaire des composants de données qui fournit une sous-couche supplémentaire de contexte aux sources de données qui vous permettent de mieux comprendre les comportements des adversaires MITRE-ATT&CK .

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : écriture, suppression de l’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    Le mappage des sources de données et des composants de données fournit une visibilité sur les sources de données ou les composants et sur les techniques pertinentes pour votre organisation.

    Par exemple, si votre organisation se concentre sur 7 techniques, vous aurez peut-être besoin de 5 sources de données et de 10 composants de données pour surveiller ces sources. Votre évaluation des outils internes révèle que votre organisation ne dispose pas de deux sources de données et de quatre composants de données. Cet exercice de mappage fournit une visibilité sur les sources de données, les composants et les techniques, leur pertinence pour votre organisation et pour identifier les lacunes de couverture. Vous pouvez ainsi concentrer votre investissement sur les bonnes sources de données et les bons capteurs d’alerte pour détecter et atténuer les menaces adverses.

    Le MITRE-ATT&CK cadre de travail contient une structure mise à jour pour les sources de données : Source de données : composant de données. Cette nouvelle forme de source de données fournit un contexte supplémentaire aux sources de données. L’objet source de données contient le nom de la source de données ainsi que des détails clés sur les données collectées (fichier, processus, trafic réseau, etc.) et des valeurs ou propriétés spécifiques requises pour détecter les comportements des adversaires.

    L’illustration suivante montre la représentation de la structure pour les sources de données et les MITRE-ATT&CK STIX™ composants de données. Vous pouvez afficher à la fois les sources de données et les composants de données capturés en tant qu’objets personnalisés STIX™ . L’illustration montre que chaque source de données contient un ou plusieurs composants de données et que chaque composant de données détecte une ou plusieurs techniques.

    Figure 1. Structure générale des sources de données et des composants de données
    Cette image montre la structure générale des sources de données et des composants de données.

    Vous pouvez continuer à utiliser le mappage de source de données si votre MITRE-ATT&CK référentiel contient les anciennes TAXII collections et que vous avez mappé vos sources de données à différentes techniques. Toutefois, utilisez le mappage des composants de données si vous utilisez les dernières TAXII collections et si vous souhaitez maintenir une relation entre les sources de données, les composants de données et les différentes techniques.

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Administration MITRE ATT&CK > Mappage des composants de données.
      L’illustration suivante montre la liste des tactiques, des ID et des techniques, ainsi que les sources de données et les composants de données en fonction des mises à jour de votre collecte.L’illustration suivante montre la liste des tactiques, des techniques, des ID, ainsi que les sources de données et les composants de données qui ont été renseignés en fonction des mises à jour de votre collection.
      Champ Description
      Tactique Objectif de l’adversaire ou motif de l’exécution d’une action.
      ID L’identité unique de Technique.
      Technique Comment un adversaire atteint un objectif tactique en effectuant une action.
      Source de données Source de données associée à la technique.
      Composant de données Composant de données associé à la source de données. Un composant de données ne peut avoir qu’une seule source de données parente.
      Composant de données révoqué Identifie si le composant de données a été révoqué dans la MITRE-ATT&CK base de connaissances.
      Outil de détection Outil qui complète la source de données en détectant les techniques utilisées. L’outil de détection est mappé avec le capteur d’alerte dans SIR.
      Commentaire Description du mappage de la source de données et du composant de données.
      Révoqué Identifie si le composant de données au mappage de technique est révoqué par MITRE-ATT&CK.
    2. Examinez les sources de données et les composants de données répertoriés et modifiez les valeurs en fonction de votre environnement.
    3. Suivez ces étapes pour ajouter un composant de données.
      1. Accédez à la Renseignements sur les menaces > Administration MITRE ATT&CK > Techniques.
      2. Cliquez sur une technique dont vous souhaitez modifier la source de données : informations sur le composant de données.
      3. Déverrouiller la source de données : composant de données.
      4. Utilisez la liste de recherche pour sélectionner MITRE-ATT&CK les composants de données.
      5. Verrouiller la source de données : composant de données.
      6. Cliquez sur Mettre à jour.
      Dans l’illustration suivante, vous verrez comment ajouter des composants de données.Cette illustration montre comment mapper des composants de source de données à une technique.