攻撃パターンの定義

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • 攻撃パターンを定義して脅威アナリストが攻撃を分類できるようにします。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    手順

    1. 次のように移動する。 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. ワークスペースの [脅威インテリジェンスライブラリ (Threat Intel Library)] アイコンをクリックします。
    3. 攻撃パターンに移動します。
    4. [新規] をクリックします。
      注:
      観測事象、インジケーター、エンティティ、オブジェクトのオブジェクトレコードを新たに作成するたびに、ソースレコードが作成され、新しいオブジェクトレコードが作成されたことを示すプロンプトメッセージが表示されます。その後、ユーザーは集計レコードにリダイレクトされます。
    5. フォームのフィールドに入力します。
      表 : 1. [攻撃パターンの詳細] ビュー
      フィールド 説明
      ID 攻撃パターンの一意の ID。
      名前 この攻撃パターンの名前を入力します。
      説明 攻撃パターンの説明を入力します。
      エイリアス この攻撃パターンを識別する代替名。
      注:
      アプリケーションに存在しない新しいエイリアスを追加するには、[エイリアス] フィールド自体で使用できる [ 新しいエイリアスを追加 ] アイコンをクリックします。
      攻撃フェーズ LM、MITRE ATT&CK などのキルチェーンの攻撃フェーズを表します。
      必要な権限 この攻撃パターンに対する必要な権限を選択します。
      TLP TLP は、機密情報が適切な対象者と共有されるようにするために使用されるものです。4 つの色 (白、緑、オレンジ、赤) を使用して、さまざまな感度を示します。
      信頼性 この攻撃パターンモードの信頼度を入力します。

      信頼度プロパティは、作成者がデータの正確性に対して持っている信頼性を識別します。信頼度値は 0~100 の範囲にする必要があります。
      ソース このオブジェクトレコードの作成元である脅威のソースを指定します。
      取り消し 取り消されたオブジェクトが、オブジェクト作成者によって有効と見なされなくなったことを示します。
      システムの更新を防止 このフラグを true に設定すると、レコードのフィールドの値が上書きされなくなります。
      重要:
      新しいオブジェクトレコードを作成すると、[システムの更新を防止] チェックボックスが表示されます。

      観測事象、インジケーター、STIX オブジェクトのレコードが作成された後、システムにより更新されないようにするには、このチェックボックスをオンにします。

      表 : 2. インサイト
      フィールド 説明
      メモ 攻撃パターンに関するメモを追加します。
      表 : 3. 追加情報
      フィールド 説明
      追加コンテキスト この攻撃パターンのコンテキストを追加します。
      仕様バージョン このオブジェクト (攻撃パターン) を表すために使用される STIX 仕様のバージョン。

      この仕様に従って定義された STIX オブジェクトの場合、このプロパティの値は 2.1 である必要があります。
      言語 このプロパティは、このオブジェクトのテキストコンテンツの言語を識別します。
      作成日時 システムでレコードが作成される時刻を指定します。
      更新日時 システムでレコードが変更される時刻を指定します。
      拡張 攻撃パターンの拡張を示します。
      処理ステータス このオブジェクト (攻撃パターン) の処理ステータスを表します。
    6. [保存] をクリックします。
      保存すると、「新しい観測事象レコードが作成されました。レコードを編集して新たな関連を作成するには [続行] をクリックしてください」というプロンプトメッセージが表示されます。
    7. [続行] をクリックします。
      重要:
      新しい観測事象レコードを作成すると、[システムの更新を防止] チェックボックスが表示されます。

      観測事象、インジケーター、STIX オブジェクトのレコードが作成された後、システムにより更新されないようにするには、このチェックボックスをオンにします。

      表 : 4. タグと分類
      フィールド 説明
      Tags
      タグを選択 (Select Tags) 観測事象に関連付けられているタグを選択します。
      タグを追加 新しいタグを追加します。
      分類
      分類を選択 攻撃パターンに関連付けられている分類を選択します。
      分類値を追加 攻撃パターンに関連する分類値を選択します。

    次のタスク

    次の関連リストのいずれかをクリックすると、攻撃パターンに関連するオブジェクトの追加情報が表示できます。
    表 : 5. 関連レコード
    フィールド 説明
    外部参照 STIX 以外の情報を参照する外部参照を一覧表示します。このプロパティは、1 つ以上の外部オブジェクト識別子を指定するために使用されます。
    キャンペーン このオブジェクトに関連付けられたキャンペーンを一覧表示します。
    ID このオブジェクトに関連付けられた ID のリスト。
    インジケーター このオブジェクトに関連付けられた脅威ソースによって特定された、関連するセキュリティ侵害のインジケーター (IoC) を一覧表示します。
    侵入セット このオブジェクトに関連付けられた共通プロパティを持つ、一連の攻撃者の行動とリソースを一覧表示します。
    場所 このオブジェクトに地理的コンテキストを提供する場所を一覧表示します。
    マルウェア このオブジェクトに関連付けられた悪意のあるコードを一覧表示します。
    攻撃者 このオブジェクトに関連付けられている、悪意を持って行動する個人、グループ、または組織を一覧表示します。
    ツール このオブジェクトに関連付けられている、攻撃者が攻撃を実行するために使用する正当なソフトウェアを一覧表示します。
    脆弱性 このオブジェクトに関連付けられている、攻撃者が悪用するソフトウェアまたはハードウェアの脆弱性または欠陥を一覧表示します。
    注:
    1. このオブジェクトに関連付けられた関連レコードをリンクおよびリンク解除できます。詳細については、「脅威インテリジェンス関連レコードへのリンク」を参照してください。
    2. TI ライブラリ内のさまざまな SDO には、潜在的な関係も含まれています。任意の 2 つのオブジェクト間の関係を確立するには、脅威インテリジェンスライブラリ[潜在リレーションシップ] リンクを使用してオブジェクト間の関係を確定します。詳細については、「オブジェクトとオブジェクトの潜在リレーションシップを確認する」を参照してください。
    3. また、オブジェクトフォームビューの [関連レコード] セクションを使用し、フォームビューで使用可能な [潜在リレーションシップ] セクションを使用して、2 つのオブジェクト間の関係を確認します。詳細については、「関連レコードから潜在リレーションシップを確認する」を参照してください。
    4. ケースにオブジェクトを追加できます。詳細については、「ケースに追加する」を参照してください。