Definieren Sie ein Angriffsmuster

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Definieren Sie ein Angriffsmuster, um Bedrohungsanalysten bei der Kategorisierung von Angriffen zu helfen.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.analyst

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum.
    2. Klicken Sie im Arbeitsbereich auf das Symbol Threat Intel Library (Threat Intel Library).
    3. Navigieren Sie zu Angriffsmuster.
    4. Klicken Sie auf Neu.
      Hinweis:
      Wenn Sie neue Objektdatensätze für erkennbare Elemente, Indikatoren, Entitäten oder Objekte erstellen, wird ein Quelldatensatz erstellt und eine Meldung angezeigt, dass der neue Objektdatensatz erstellt wird. Anschließend wird der Benutzer zum aggregierten Datensatz weitergeleitet.
    5. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Detailansicht „Angriffsmuster“.
      Feld Beschreibung
      ID Eindeutige ID für ein Angriffsmuster.
      Name Geben Sie einen Namen für dieses Angriffsmuster ein.
      Beschreibung Geben Sie eine Beschreibung für ein Angriffsmuster ein.
      Aliase Alternative Namen zur Identifizierung dieses Angriffsmusters.
      Hinweis:
      Um einen neuen Alias hinzuzufügen, der in der Anwendung nicht vorhanden ist, klicken Sie auf das Symbol „Neue Aliasse hinzufügen“, das im Feld „Alias“ selbst verfügbar ist.
      Angriffsphase Stellt die Angriffsphase in einer Kill Chain wie LM, MITRE ATT&CK dar.
      Berechtigungen erforderlich Wählen Sie die erforderlichen Berechtigungen für dieses Angriffsmuster aus.
      TLP TLP wird verwendet, um sicherzustellen, dass vertrauliche Informationen für die entsprechende Zielgruppe freigegeben werden. Vier Farben (weiß, grün, gelb und rot) kennzeichnen unterschiedliche Empfindlichkeitsgrade.
      Vertrauen Geben Sie die Konfidenz für diesen Angriffsmustermodus ein.

      Die Konfidenzeigenschaft gibt das Vertrauen des Erstellers in die Richtigkeit seiner Daten an. Der Konfidenzwert muss eine Zahl im Bereich von 0 bis 100 sein.
      Quelle Gibt die Bedrohungsquelle an, aus der dieser Objektdatensatz erstellt wird.
      Widerrufen Gibt an, dass die widerrufenen Objekte vom Objektersteller nicht mehr als gültig betrachtet werden.
      Systemupdates verhindern Wenn Sie diese Kennzeichnung auf „wahr“ festlegen, kann das System die Werte von Feldern im Datensatz nicht überschreiben.
      Wichtig:
      Nachdem Sie einen neuen Objektdatensatz erstellt haben, wird das Kontrollkästchen Systemaktualisierungen verhindern angezeigt.

      Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

      Tabelle : 2. Einblicke
      Feld Beschreibung
      Notizen Fügen Sie zusätzliche Hinweise für ein Angriffsmuster hinzu.
      Tabelle : 3. Zusätzliche Informationen
      Feld Beschreibung
      Zusätzlicher Kontext Fügen Sie zusätzlichen Kontext für dieses Angriffsmuster hinzu.
      Spezifikationsversion Die Version der STIX-Spezifikation, die zur Darstellung dieses Objekts (Angriffsmuster) verwendet wird.

      Der Wert dieser Eigenschaft muss für STIX-Objekte, die gemäß dieser Spezifikation definiert sind, 2.1 sein.
      Lang Diese Eigenschaft gibt die Sprache des Textinhalts in diesem Objekt an.
      Erstellt Gibt die Zeit an, zu der der Datensatz im System erstellt wird.
      Aktualisiert Gibt den Zeitpunkt an, zu dem der Datensatz im System geändert wird.
      Erweiterungen Gibt die Erweiterungen des Angriffsmusters an.
      Verarbeitungsstatus Stellt den Verarbeitungsstatus dieses Objekts dar, Angriffsmuster.
    6. Klicken Sie auf Speichern.
      Nach dem Speichern wird eine Eingabeaufforderung angezeigt, die angibt, dass ein neuer erkennbarer Datensatz erstellt wird. Klicken Sie auf „Fortsetzen“, um den Datensatz zu bearbeiten und neue Beziehungen zu erstellen.
    7. Klicken Sie auf Fortsetzen.
      Wichtig:
      Nachdem Sie einen neuen Datensatz für ein erkennbares Element erstellt haben, wird das Kontrollkästchen Systemaktualisierungen verhindern angezeigt.

      Aktivieren Sie dieses Kontrollkästchen, um Aktualisierungen vom System zu verhindern, nachdem die Datensätze für erkennbare Elemente, Indikatoren oder STIX-Objekte erstellt wurden.

      Tabelle : 4. Tags und Taxonomien
      Feld Beschreibung
      Tags
      Tags auswählen Wählen Sie die Tags aus, die einem erkennbaren Element zugeordnet sind.
      Tags hinzufügen Fügen Sie neue Tags hinzu.
      Taxonomien
      Taxonomie auswählen Wählen Sie eine Taxonomie aus, die einem Angriffsmuster zugeordnet ist.
      Taxonomiewerte hinzufügen Fügen Sie Taxonomiewerte hinzu, die einem Angriffsmuster zugeordnet sind.

    Nächste Maßnahme

    Sie können jetzt auf eine der folgenden zugehörigen Listen klicken, um zusätzliche Informationen zu Objekten anzuzeigen, die dem Angriffsmuster zugeordnet sind.
    Tabelle : 5. Zugehörige Datensätze
    Feld Beschreibung
    Externe Referenzen Listet externe Referenzen auf, die auf Nicht-STIX-Informationen verweisen. Diese Eigenschaft wird verwendet, um einen oder mehrere externe Objektbezeichner bereitzustellen.
    Kampagnen Listet Kampagnen auf, die diesem Objekt zugeordnet sind.
    Identitäten Liste der Identitäten, die diesem Objekt zugeordnet sind.
    Indikatoren Listet zugehörige Kompromittierungsindikatoren (IoC) auf, die von der mit diesem Objekt verknüpften Bedrohungsquelle identifiziert wurden.
    Angriffssatz Listet eine Reihe von Angreiferverhalten und -ressourcen mit allgemeinen Eigenschaften auf, die diesem Objekt zugeordnet sind.
    Standorte Listet Standorte auf, die geografischen Kontext für dieses Objekt bieten.
    Malware Listet schädlichen Code auf, der diesem Objekt zugeordnet ist.
    Bedrohungsakteure Listet Personen, Gruppen oder Organisationen auf, die mit einer böswilligen Absicht handeln, die mit diesem Objekt verknüpft ist.
    Tools Listet legitime Software auf, die von Bedrohungsakteuren für Angriffe im Zusammenhang mit diesem Objekt verwendet wird.
    Schwachstellen Listet eine Schwachstelle oder einen Fehler in einer Software oder Hardware auf, die bzw. den Angreifer ausnutzen und die diesem Objekt zugeordnet ist.
    Hinweis:
    1. Sie können die zugehörigen Datensätze, die diesem Objekt zugeordnet sind, verknüpfen und die Verknüpfung aufheben. Weitere Informationen finden Sie unter Zugehörige Datensätze zu Bedrohungsinformationen verknüpfen.
    2. Die verschiedenen SDOs in der TI-Bibliothek enthalten auch die potenziellen Beziehungen. Um Beziehungen zwischen zwei Objekten herzustellen, verwenden Sie den Link „Potenzielle Beziehungen“ aus der Threat Intel Library, um die Beziehungen zwischen den Objekten zu bestätigen. Weitere Informationen finden Sie unter Bestätigen Sie die Beziehungen zwischen Objekten und potenziellen Objekten.
    3. Verwenden Sie außerdem den Abschnitt „Zugehörige Datensätze“ aus der Formularansicht „Objekte“, um die Beziehungen zwischen zwei Objekten mithilfe des Abschnitts „Potenzielle Beziehungen“ in der Formularansicht zu bestätigen. Weitere Informationen zu finden Sie unter Bestätigen Sie potenzielle Beziehungen aus zugehörigen Datensätzen.
    4. Sie können Objekte zu Fällen hinzufügen. Weitere Informationen finden Sie unter Dem Fall hinzufügen.