Méthode d’extraction technique MITRE ATT&CK

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • La méthode d’extraction de la technique MITRE ATT&CK décrit comment les méthodes d’extraction sont effectuées et les techniques associées sont vérifiées.

    1. Les règles d’extraction pour les sources de données (les recherches de menaces ne sont pas applicables) sont traitées chaque fois qu’un enregistrement source d’entité (par exemple, source d’observable ou source objet) est créé.
    2. Les règles s’appliquent à tous les champs de l’enregistrement source de l’entité (à l’exception des champs de date, de nombre, de catégorie d’utilisation et des phases d’attaque).
    3. Les techniques MITRE extraites sont associées à l’enregistrement d’entité correspondant et vous affichez les enregistrements dans la liste connexe des techniques MITRE dans l’onglet Enregistrements connexes .
      Remarque :
      Les techniques MITRE sont d’abord extraites et associées à l’enregistrement source de l’entité, puis les associations de techniques sont dédupliquées et regroupées à l’enregistrement d’entité parent.

    Afficher les techniques MITRE

    1. Accédez à la Bibliothèque de Renseignements sur les menacestout enregistrement d’entité (observable ou objet) utilisant le fichier .
    2. Cliquez sur l’onglet Enregistrements connexes .
    3. Sélectionnez Techniques MITRE et affichez les techniques associées qui sont extraites.
    4. Cliquez sur l’ID de la technique MITRE pour afficher et accéder à l’enregistrement d’association de la technique MITRE. La colonne Sources affiche toutes les sources (également séparées par une virgule s’il existe une ou plusieurs sources) qui sont associées à l’enregistrement source de l’entité sur lequel l’extraction MITRE est effectuée.
      Remarque :
      Si les mêmes ID de tactiques et de techniques sont extraits de plusieurs sources, un seul enregistrement d’association de tactiques et de techniques s’affiche et la colonne Sources affiche toutes les sources extraites.
    5. Pour le dépannage, vous pouvez afficher la règle d’extraction MITRE responsable de l’extraction des associations de tactiques et de techniques en accédant aux relations sources de techniques.
      Remarque :
      Assurez-vous d’ajouter la colonne Règle d’extraction à l’aide de l’icône Actions de liste au cas où vous ne verriez pas la colonne Règle d’extraction.
    Les règles d’extraction pour les recherches de menaces sont traitées chaque fois que l’enregistrement de résultat de la recherche de menace est créé pour tout observable pour lequel l’action Exécuter la recherche de menaces est déclenchée et l’extraction est effectuée uniquement sur la charge utile des données brutes (champ raw_data) qui est disponible dans l’enregistrement de résultat de la recherche de menace.
    Remarque :
    • Si aucun ID de tactique n’est présent dans la source de l’entité extraite (observable ou objet) ou dans le résultat de recherche de menace pour une technique MITRE ATT&CK, les associations de techniques sont créées pour toutes les tactiques associées à la technique correspondante dans le référentiel MITRE.
    • Si un ID de tactique est présent dans la source de l’entité extraite (observable ou objet) ou le résultat de recherche de menace pour une technique MITRE ATT&CK, les associations de techniques sont spécifiquement créées uniquement pour toutes les tactiques extraites associées à la technique correspondante dans le référentiel MITRE.