Ordnen Sie Informationen MITRE-ATT&CK erkennbaren Elementen zu

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Ordnen Sie MITRE-ATT&CK -Taktiken und -Techniken einem erkennbaren Element zu, um Security Incidents und Bedrohungsanalysen auf granularer Ebene zu verbessern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Einige SIEMs können Informationen MITRE-ATT&CK mit Ereignissen, Warnungen oder erkennbaren Elementen bereitstellen. Um die MITRE-ATT&CK -Informationen auf granularer Ebene zuzuordnen, können Sie die Informationen mit einem erkennbaren Element hinzufügen.

    Sie können ein Rollup der Informationen MITRE-ATT&CK automatisch von den erkennbaren Elementen zu einem Security Incident durchführen. Aktivieren Sie für das automatische Rollup von erkennbaren Elementen zu Security Incidents die Systemeigenschaft. Alternativ können Sie die Informationen für jedes erkennbare Element manuell zusammenfassen.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie mit den MITRE-ATT&CK -Informationen anreichern möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die Registerkarte Zugeordnete erkennbare Elemente.
    4. Zeigen Sie auf das erkennbare Element, das Sie zuordnen möchten, klicken Sie mit der rechten Maustaste, und wählen Sie MITRE ATT&CK-Technik zuordnenaus.

      In der folgenden Abbildung sehen Sie, wie Sie von der zugehörigen Liste zu MITRE ATT&CK-Technikzuordnen navigieren, die Quelle überprüfen und eine Taktik und Technik hinzufügen.

      Ordnen Sie MITRE ATT&CK-Informationen einem erkennbaren Element zu.
    5. Überprüfen Sie in den Quellenlisten die Quelle.
      Hinweis:
      In der Quellenliste werden nur die Sammlungen und Matrizen angezeigt, die aktiviert wurden.
    6. Überprüfen Sie die Taktik und die Techniken, und fügen Sie sie basierend auf der Relevanz für das erkennbare Element hinzu, oder entfernen Sie sie.
    7. Klicken Sie auf Speichern.
      Die von Ihnen hinzugefügten Taktiken und Techniken werden in der Spalte MITRE-ATT&CK „Informationen“ in der zugehörigen Liste der erkennbaren Elemente angezeigt.
    8. Wählen Sie das erkennbare Element aus, und klicken Sie dann im Menü „Aktionen “ auf MITRE ATT&CK-Informationen für SI zusammenfassen.
      Wenn Sie aktiviert haben automatisches Rollup von MITRE-ATT&CK Informationen von erkennbaren Elementen bis hin zu Security Incidents, werden die Informationen automatisch zusammengefasst. Wenn Sie das automatische Rollup nicht aktiviert haben,müssen Sie dies manuell durchführen.

      Die folgende Abbildung zeigt, wie Sie ein erkennbares Element auswählen und die Informationen MITRE-ATT&CK zu einem Security Incident zusammenfassen.

      Führen Sie ein manuelles Rollup von MITRE ATT&CK-Informationen von erkennbaren Elementen zu Security Incidents durch.
    9. Um eine zusammengefasste Ansicht der Techniken anzuzeigen, die den erkennbaren Elementen zugeordnet sind, wählen Sie zwei oder mehr erkennbare Elemente aus der Liste aus, und klicken Sie dann im Menü „ Aktionen“ in der Liste der ausgewählten Zeilen auf MITRE ATT&CK-Informationen anzeigen.

    Ergebnisse

    Eine zusammengefasste Ansicht der MITRE ATT&CK-Informationen für die ausgewählten erkennbaren Elemente wird angezeigt.