MISP エンリッチメント結果を使用して MITRE-ATT&CK 情報をロールアップする

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:1分

    • MISP 情報の自動ロールアップを有効にしていない場合は、MISP 拡張結果を手動でロールアップします。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    ベースシステムの自動抽出ルールを使用して、MISP 統合から MITRE-ATT&CK 情報をインポートします。MISP integration for Security Operations は、 MISP - MISP ギャラクシーと MISP タグについて 2 つのベースシステム MITRE-ATT&CK テクニック抽出ルールを導入しています。MITRE-ATT&CK の自動抽出ルールの詳細については、「MITRE-ATT&CK 情報をインポートするための自動抽出テクニックルール」を参照してください。

    有効にしている場合 の自動ロールアップ MITRE-ATT&CK を使用した情報 MISP エンリッチメント結果 セキュリティインシデントの場合、情報は自動的にロールアップされます。自動ロールアップを有効にしていない場合、このタスクは手動で行うことができます。

    手順

    1. 次のように移動する。 All (すべて) > セキュリティインシデント > すべてのインシデントを表示.
    2. MITRE-ATT&CK 情報で拡張するセキュリティインシデントを選択します。
    3. [すべての関連リストを表示] および [MISP 拡張結果] タブをクリックします。
    4. 観測事象を選択し、 [アクション] メニューから [MITRE ATT&CK 情報を SI にロールアップ] をクリックします。
      複数の観測事象を選択して、情報をロールアップできます。
    5. 変更を確認するには、[リロード] をクリックします。
      以下の例では、観測事象の選択方法、および MISP エンリッチメント結果のセキュリティインシデントへのロールアップ方法を示しています。
      図 : 1. MITRE 情報をセキュリティインシデントにロールアップする
      MITRE 情報をセキュリティインシデントにロールアップします。

    タスクの結果

    MITRE-ATT&CK カードを表示して、MISP 拡張結果がセキュリティインシデントにロールアップされていることを確認できます。