MITRE-ATT&CK 情報の観測事象への関連付け
セキュリティインシデントと脅威を詳細なレベルで分析できるように、MITRE-ATT&CK の戦術とテクニックを観測事象に関連付けます。
始める前に
必要なロール:sn_si.analyst
このタスクについて
一部の SIEM は、イベント、アラート、または観測事象とともに MITRE-ATT&CK 情報を提供します。MITRE-ATT&CK 情報を詳細なレベルで関連付けるには、情報を観測事象に追加します。
観測事象からセキュリティインシデントに MITRE-ATT&CK 情報を自動的にロールアップするように選択できます。観測事象をセキュリティインシデントに自動的にロールアップするには、システムプロパティを有効にします。または、観測事象ごとに情報を手動でロールアップすることもできます。
手順
-
関連付ける観測事象をポイントし、右クリックして、[MITRE ATT&CK テクニックの関連付け (Associate MITRE ATT&CK Technique)] を選択します。
次の図では、関連リストから [MITRE ATT&CK テクニックの関連付け (Associate MITRE ATT&CK Technique)] に移動して、ソースを確認し、戦術とテクニックを追加する方法を示しています。
-
観測事象を選択し、[アクション] メニューから [MITRE ATT&CK 情報を SI にロールアップ] をクリックします。
有効になっている場合 の自動ロールアップ MITRE-ATT&CK 観測事象からセキュリティインシデントへの情報の場合、情報は自動的にロールアップされます。自動ロールアップを有効にしていない場合は、手動で行う必要があります。
次の図は、観測事象を選択して MITRE-ATT&CK 情報をセキュリティインシデントにロールアップする方法を示しています。