MITRE-ATT&CK 情報のセキュリティインシデントへの関連付け

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:4分

    • セキュリティインシデントと脅威を適切に分析できるように、MITRE-ATT&CK の戦術とテクニックをセキュリティインシデントに関連付けます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    セキュリティインシデントと脅威を相関付けて適切に分析できるように、MITRE-ATT&CK の戦術とテクニックの情報をセキュリティインシデントに関連付けます。たとえば、組織が 脅威インテリジェンス レポートや セキュリティインシデントレスポンス の外部の他のソースなどのサードパーティソースから、戦術、テクニック、手順 (TTP) 関連の情報を受け取っている場合があります。その後、適切に相関付けて脅威分析できるように、この情報を SIR に追加します。

    脅威のルックアップの自動抽出結果から、観測事象から、または子セキュリティインシデントからセキュリティインシデントに MITRE-ATT&CK 情報を自動的にロールアップすることもできます。セキュリティインシデントに自動的にロールアップするには、システムプロパティを有効にします。また、脅威のルックアップまたは観測事象ごとに、情報を手動でロールアップすることもできます。

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. MITRE-ATT&CK 情報で拡張するセキュリティインシデントを選択します。
    3. [MITRE ATT&CK テクニックの関連付け (Associate MITRE ATT&CK Technique)] 関連リンクをクリックします。
      [MITRE ATT&CK テクニックの関連付け (Associate MITRE ATT&CK Technique)] ペインが表示されます。

      この図は、関連リストに移動して [MITRE-ATT&CK テクニックの関連付け] を探し、ソースの Enterprise ATT&CK を確認して、戦術の影響を追加し、テクニックのシステムシャットダウン/再起動を追加する方法を示しています。

    4. [ソース] を選択します。
      注:
      アクティブ化されたコレクションマトリクスのみがソースリストに表示されます。
      ソースに関連付けられている戦術とテクニックを選択できます。複数のリソースを関連付けることもできます。
    5. [戦術][テクニック] を選択します。
    6. オプション: セキュリティインシデントとの関連性に基づいて情報を確認し、次の操作を実行します。
      • 関連付けを完全に削除するには、ゴミ箱アイコンをクリックします。このアイコンをクリックすると、ソースとそれに関連付けられている戦術とテクニックが削除されます。
      • 戦術を削除するには、戦術の横にある [-] アイコンをクリックします。
      • テクニックを削除するには、テクニックの横にある [x] アイコンをクリックします。
    7. [保存] をクリックします。

    タスクの結果

    MITRE-ATT&CK 情報がセキュリティインシデントに関連付けられます。これで、関連情報を MITRE ATT&CK カードに表示できます。

    MITRE-ATT&CK 情報をクローズ済みセキュリティインシデントに関連付ける

    MITRE-ATT&CK の戦術とテクニックをクローズ済みセキュリティインシデントに関連付けて、セキュリティインシデントと脅威を適切に分析できるようになりました。

    MITRE-ATT&CK カードを使用してセキュリティインシデントの関連情報を表示する

    MITRE-ATT&CK カードを使用して、セキュリティインシデントの MITRE-ATT&CK 関連情報を表示できます。

    脅威のルックアップ、観測事象、または SIEM 統合から情報がロールアップされた後、セキュリティインシデントに追加されます。次に、集計された情報が MITRE-ATT&CK カードに表示されます。[MITRE ATT&CK カード] には、次の 2 つのビューがあります。

    • ナビゲータービュー:このビューは、MITRE-ATT&CK ナビゲーターに似ており、観測事象や脅威のルックアップのテーブルから手動で追加されたりロールアップされたすべてのテクニックを表示します。[テクニックの由来を表示 (Show origin of techniques)] では、テクニックが手動でロールアップされているまたはソースを通している場合に、テクニックの由来を表示します。[ID を表示 (Show ID)] はテクニック ID を表示します。

      次の図は、[MITRE ATT&CK カード] ナビゲータービューに移動する方法を示しています。利用可能なリンクのいずれかをクリックすると、脅威インテリジェンス モジュールで情報が表示されます。

    • リストビュー:このビューは、リスト形式またはテーブル形式でデータを表示します。このビューでは、さまざまなテーブルとグループに及んでいるすべてのデータを表示できます。

      次の図は、MITRE ATT&CK カードのリストビューに移動する方法を示しています。利用可能なリンクのいずれかをクリックすると、脅威インテリジェンス モジュールで情報が表示されます。