ドメインセパレーションと MITRE-ATT&CK
これは、MITRE-ATT&CK に関するドメインセパレーションの概要です。ドメインセパレーションでは、データ、プロセス、および管理タスクをドメインと呼ばれる論理的なグループに分けることができます。その後、どのユーザーがデータを表示できるか、データにアクセスできるかなど、このアプリケーションのいくつかの側面を制御できます。
サポートレベル
サポート:ベーシック。
MITRE-ATT&CK のドメインセパレーションの仕組み
ドメインセパレーションを実現するには、次の手順に従います。
- それぞれのドメインで、必要な sn_ti.admin ロールを持つユーザーを作成します。
- すべてのドメインについて次を複製します。
- TAXII コレクション
注:
- グローバルドメインでコレクションをアクティブ化しないでください。ドメインで複製されて利用可能なコレクションのみをアクティブ化します。
- コレクションの [実行方法] フィールドを、それぞれのドメインの sn_ti.admin ロールを持つユーザーに変更します。
- テクニックディスカバリー範囲の定義
- テクニック抽出ルール
- 検出ルール - MITRE ATT&CK マッピング
- 緩和対象範囲
- すべての緩和対象範囲定義レコードをコピーします。
- 緩和対象範囲計算ツールをコピーするか、それぞれのドメインに新しい計算ツールを作成します。
- 脅威グループ - テクニックヒートマップ定義
- TAXII コレクション
TAXII 収集の複製
- 移動先 .
- ヘッダーバーで、ドメインピッカーを使用してドメインを選択します。
- 組織に関連する TAXII 収集 (エンタープライズ ATT&CK、モバイル ATT&CK、または ICS ATT&CK) を選択します。
- ヘッダーバーを右クリックして、[挿入と維持] を選択します。重複した TAXII 収集が選択したドメインに作成されます
- MITRE ATT&CK TAXII プロファイルに戻り、重複する TAXII 収集を表示します。
次の図は、ドメインの TOP/Initech を選択して、ドメイン内の TAXII 収集を複製し、複製された TAXII 収集を確認する方法を示しています。