Associer des MITRE-ATT&CK informations à des observables

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Associez MITRE-ATT&CK des tactiques et des techniques à un observable pour une meilleure analyse des incidents de sécurité et des menaces à un niveau granulaire.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Certains SIEM peuvent fournir des MITRE-ATT&CK informations avec des événements, des alertes ou des observables. Pour associer les MITRE-ATT&CK informations à un niveau granulaire, vous pouvez ajouter les informations avec un observable.

    Vous pouvez choisir de déployer automatiquement les MITRE-ATT&CK informations des observables vers un incident de sécurité. Pour le déploiement automatique des observables dans les incidents de sécurité, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque observable.

    Procédure

    1. Accédez à la Tous > Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez enrichir avec les MITRE-ATT&CK informations.
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Observables associés .
    4. Pointez sur l’observable que vous souhaitez associer, cliquez avec le bouton droit de la souris et sélectionnez Associer la technique MITRE ATT&CK.

      Dans l’illustration suivante, vous pouvez voir comment naviguer à partir de la liste connexe pour associer la technique MITRE ATT&CK, examiner la source et ajouter une tactique et une technique.

      Associer les informations de MITRE ATT&CK à un observable.
    5. Dans les listes de sources, examinez la source.
      Remarque :
      Seules les collections et matrices activées apparaissent dans la liste source.
    6. Passez en revue la tactique et les techniques, et ajoutez-les ou supprimez-les en fonction de leur pertinence avec l’observable.
    7. Cliquez sur Enregistrer.
      Les tactiques et techniques que vous avez ajoutées apparaissent dans la MITRE-ATT&CK colonne Informations de la liste connexe Observables.
    8. Sélectionnez l’observable, puis dans le menu Actions, cliquez sur Déployer les informations MITRE ATT&CK sur SI.
      Si vous avez activé Déploiement automatique de MITRE-ATT&CK Informations des observables vers l’incident de sécurité, les informations sont automatiquement déployées. Si vous n’avez pas activé le déploiement automatique, vous devez le faire manuellement.

      L’illustration suivante montre comment sélectionner un observable et déployer les MITRE-ATT&CK informations dans un incident de sécurité.

      Déployer manuellement les informations MITRE ATT&CK de l’observable vers l’incident de sécurité.
    9. Pour afficher une vue agrégée des techniques associées aux observables, sélectionnez deux observables ou plus dans la liste, puis dans le menu Actions de la liste des lignes sélectionnées, cliquez sur Afficher les informations MITRE ATT&CK.

    Résultats

    Une vue agrégée des informations MITRE ATT&CK pour les observables sélectionnés s’affiche.