Configurer le cadre de MITRE-ATT&CK travail

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Activez le MITRE-ATT&CK profil et configurez une tâche planifiée afin de pouvoir configurer MITRE-ATT&CK des collections pour la détection des menaces dans votre organisation.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Pourquoi et quand exécuter cette tâche

    L’expression d’informations structurées sur les menaces (STIX™en ) est un langage permettant de décrire les informations sur les cybermenaces de manière normalisée et structurée. À l’aide des données STIX et de l’échange automatisé fiable d’informations d’indicateur (TAXII™), les équipes de sécurité peuvent utiliser les informations partagées sur les cybermenaces pour isoler les menaces précédemment identifiées par votre entreprise et provenant d’autres sources.

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Sources > Profils TAXII.
      Vous voyez les profils disponibles TAXII .
    2. Cliquez sur le profil MITRE ATT&CK fourni avec le système de base.

      Renseignements sur les menaces : profil MITRE ATT&CK.
    3. Pour activer la TAXII collection, définissez l’option Actif sur vrai pour la TAXII collection pertinente pour votre organisation (Enterprise ATT&CK, Mobile ATT&CK ou ICS ATT&CK).
      Collecte TAXII Description
      ATT&CK d’entreprise Décrit les comportements et les actions qu’un adversaire entreprend pour faire des compromis et opérer dans un réseau d’entreprise et dans le cloud.
      Remarque :
      La matrice pré-ATT&CK a été déconseillée et a été fusionnée avec MITRE la matrice Enterprise.
      Mobile ATT&CK Décrit les comportements et les actions de l’adversaire qui se concentrent sur les équipements mobiles.
      ICS ATT&CK Décrit les actions qu’un adversaire entreprend lorsqu’il opère au sein d’un réseau de systèmes de contrôle industriel (ICS).
    4. Pour actualiser périodiquement la collection, définissez l’option Exécuter en fonction de votre organisation.
      Par défaut, cette option est définie sur Sur demande.
      Remarque :
      1. Les collections sont fournies dans le cadre du module d’extension Renseignements sur les menaces Core. L’installation ou la mise à jour de Threat Intelligence Support Common (version 12.0 ou supérieure) et de Threat Intelligence (version 12.0 ou supérieure) garantit que les données de vos collections sont remplies automatiquement.
      2. Activez la TAXII collection uniquement pour la collection que vous avez l’intention d’utiliser dans votre organisation et désactivez les autres collections. Par exemple, si vous avez l’intention d’utiliser la matrice Enterprise ATT&CK, activez Enterprise ATT&CK au niveau de la TAXII collection et des matrices . Désactivez les autres matrices Mobile ATT&CK et ICS ATT&CK à la TAXII collection et au niveau des matrices.
      3. Dans les TAXII listes connexes Collections, si vous sélectionnez l’option Exécuter sur Quotidien, une erreur se produit et l’option est définie par défaut sur Sur demande. Cette erreur se produit car la planification quotidienne de l’actualisation MITRE-ATT&CK des données est restreinte afin d’optimiser la charge sur les MITRE serveurs. De plus, il MITRE ne met à jour les données ATT&CK que deux fois par an.
      4. Les TAXII collections ne sont pas actualisées à moins que vous n’activiez la TAXII collection.
      5. Les mises à jour des collectes existantes peuvent être récupérées à partir du MITRE serveur en planifiant la fréquence « run » dans chaque collection.
      6. Les personnalisations que vous apportez aux données du MITRE-ATT&CK référentiel (logiciels malveillants, groupes, atténuations et objets d’outil pour une technique) sont enregistrées lors des mises à jour planifiées.
      7. MITRE Met à jour la MITRE-ATT&CK base de connaissances dans laquelle certains objets sont identifiés comme révoqués ou déconseillés, de nouveaux objets sont ajoutés ou des objets existants sont modifiés. En cas MITRE de révocation d’une tactique ou d’une technique, ces objets sont marqués comme révoqués dans le Now Platformfichier . Les objets révoqués sont conservés dans le référentiel mais ne peuvent pas être utilisés dans le Now Platformfichier .

    Que faire ensuite

    Une fois la configuration du profil TAXII terminée, les données du MITRE-ATT&CK référentiel sont importées à intervalles réguliers vers le Now Platform®. Vous pouvez voir ces données en accédant à Référentiel MITRE ATT&CK > Matrices et Référentiel MITRE ATT&CK > Techniques.