MITRE ATT&CK テクニック抽出メソッド
MITRE ATT&CK テクニック抽出メソッドでは、抽出メソッドの実行方法と関連するテクニックの検証方法について説明します。
- データソース (脅威のルックアップは適用されません) の抽出ルールは、エンティティ (観測事象ソースやオブジェクトソースなど) のソースレコードが作成されるたびに処理されます。
- ルールは、エンティティソースレコード内のすべてのフィールドに適用されます (日付、数値フィールド、使用率カテゴリと攻撃フェーズを除く)。
- 抽出された MITRE テクニックは対応するエンティティレコードに関連付けられ、[ 関連レコード ] タブの [MITRE テクニック] 関連リストでレコードを表示できます。注:MITRE テクニックが最初に抽出され、エンティティソースレコードに関連付けられ、次にテクニックの関連付けが除外され、親エンティティレコードに集計されます。
MITRE テクニックを表示
- 次のように移動する。 を使用する任意のエンティティ (観測事象またはオブジェクト) レコード。
- [ 関連レコード ] タブをクリックします。
- [MITRE テクニック] を選択し、抽出された関連テクニックを表示します。
- MITRE テクニック ID をクリックして、MITRE テクニック関連付けレコードを表示してアクセスします。[ ソース] 列には、MITRE 抽出が実行されるエンティティソースレコードに関連付けられているすべてのソース (1 つ以上のソースがある場合はカンマで区切って) が表示されます。注:複数のソースから同じ戦術とテクニックの ID が抽出された場合、戦術とテクニックの関連付けレコードが 1 つだけ表示され、[ ソース] 列には抽出されたすべてのソースが表示されます。
- トラブルシューティングを行う場合は、[ テクニックソース関係 (Technique Source Relations)] に移動して、戦術とテクニックの関連付けの抽出に関与した MITRE 抽出ルールを表示できます。注:[抽出ルール] 列が表示されない場合は、[リストアクション] アイコンを使用して [抽出ルール] 列を追加してください。
脅威のルックアップの抽出ルールは、[ 脅威のルックアップを実行 ] アクションがトリガーされた観測事象に対して脅威のルックアップの結果レコードが作成されるたびに処理され、脅威のルックアップの結果レコードで利用可能な生データ (raw_dataフィールド) ペイロードに対してのみ抽出が実行されます。
注:
- MITRE ATT&CK テクニックの抽出されたエンティティ (観測事象またはオブジェクト) ソースまたは脅威のルックアップの結果に戦術 ID が存在しない場合、MITRE リポジトリ内の対応するテクニックに関連付けられているすべての戦術に対してテクニックの関連付けが作成されます。
- MITRE ATT&CK テクニックの抽出されたエンティティ (観測事象またはオブジェクト) ソースまたは脅威のルックアップ結果に戦術 ID が存在する場合、テクニックの関連付けは、MITRE リポジトリ内の対応するテクニックに関連付けられているすべての抽出された戦術に対してのみ特別に作成されます。