データソースとデータコンポーネントのマッピングの定義
最新の TAXII コレクションを使用していて、データソース、データコンポーネント、およびさまざまなテクニック間の関係を維持する場合は、データコンポーネントマッピングを使用します。データソースに追加のサブレイヤーコンテキストを提供するデータコンポーネントの追加コンテキストでデータソースをマッピングすることで、MITRE-ATT&CK 内の攻撃者の行動をより理解することができます。
始める前に
- sn_ti.admin、sn_si.admin:書き込み、削除アクセス
- sn_ti.read:読み取りアクセス
このタスクについて
データソースとデータコンポーネントをマッピングすることで、データソースやコンポーネント、および組織に関連するテクニックを可視化できます。
たとえば、組織が 7 つのテクニックに焦点を当てている場合、5 つのデータソースと、これらのソースを監視するための 10 のデータコンポーネント必要であると考えられます。内部ツールの評価により、組織には 2 つのデータソースと 4 つのデータコンポーネントがないことが判明しました。このマッピング演習によって、データソース、コンポーネントとテクニック、組織との関連性が可視化され、範囲におけるギャップを確認することができます。これにより、適切なデータソースとアラートセンサーに投資を集中させて、攻撃者の脅威を検出して緩和できます。
MITRE-ATT&CK フレームワークでは、データソースの構造が更新されています (データソース:データコンポーネント)。このデータソースの新しい形式は、データソースに追加のコンテキストを提供します。データソースオブジェクトは、データソースの名前、コレクションされたデータに関する主な詳細 (ファイル、プロセス、ネットワークトラフィックなど)、および攻撃者の動作を検出するために必要な特定の値やプロパティを備えています。
次の図は、データソースとデータコンポーネントに対する MITRE-ATT&CK STIX™ の構造表示を示しています。データソースとデータコンポーネントの両方がカスタム STIX™ オブジェクトとしてキャプチャされているのがわかります。この図は、各データソースに 1 つ以上のデータコンポーネントが含まれており、各データコンポーネントが 1 つ以上のテクニックを検出することを示しています。
MITRE-ATT&CK リポジトリに古い TAXII コレクションが含まれていて、データソースをさまざまなテクニックにマッピングしている場合は、引き続きデータソースマッピング を使用できます。ただし、最新の TAXII コレクションを使用していて、データソース、データコンポーネント、およびさまざまなテクニック間の関係を維持する場合は、データコンポーネントマッピングを使用してください。
手順
-
次のように移動する。 .
次の図は、コレクションの更新に基づくデータソースとデータコンポーネントと併せて、戦術、ID、テクニックのリストを示しています。
フィールド 説明 戦術 アクションを実行するための攻撃者の目標または理由 ID テクニックの一意の ID。 テクニック テクニックは、攻撃者がアクションを実行して戦術的目標を達成する方法を表します。 データソース テクニックに関連付けられているデータソース。 データコンポーネント データソースに関連付けられているデータコンポーネント。データコンポーネントは、親データソースを 1 つだけ持つことができます。 取り消されたデータコンポーネント MITRE-ATT&CK ナレッジベースでデータコンポーネントが取り消されたかどうかを示します。 検出ツール 使用されているテクニックを検出することによってデータソースを補足するツール。検出ツールは、SIR のアラートセンサーとマッピングされます。 コメント データソースとデータコンポーネントのマッピングの説明。 取り消し済み データコンポーネントのテクニックへのマッピングが MITRE-ATT&CK によって取り消されたかどうかを示します。 -
次の手順を実行して、データコンポーネントを追加します。
- 次のように移動する。 .
- データソース:データコンポーネントの情報を変更するテクニックをクリックします。
- データソース:データコンポーネントのロックを解除します。
- ルックアップリストを使用して、MITRE-ATT&CK データコンポーネントを選択します。
- データソース:データコンポーネントをロックします。
- [更新] をクリックします。
次の図は、データコンポーネントを追加する方法を示しています。