MITRE テクニックの関連付けのロールアップ

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • ケースレコードにリンクされている、またはリンク解除されている観測事象、インジケーター、オブジェクト、およびセキュリティインシデントからの MITRE テクニックの関連付けのロールアップ。

    始める前に

    注:
    • セキュリティインシデントの MITRE テクニック関連付けのロールアップでは、セキュリティインシデントの MITRE テクニック関連データが TISC のケース管理にロールアップされます。
    • デフォルトでは、このプロパティ sn_sec_tisc.auto_rollup_mitre_data は MITRE テクニックに対して有効になっており、関連するオブジェクトまたはセキュリティインシデントからケースに自動的にロールアップされます。
    • MITRE テクニックの関連付けのオンデマンドロールアップを実行する場合は、[ ケース] フォームビュー 内のその他のアクションに移動し、[ MITRE テクニックをロールアップ] オプションを選択します。この操作は非同期に行われ、[ アクティビティストリーム ] セクションでロールアップアクティビティの更新を確認できます。
    必要なロール:sn_sec_tisc.analyst

    このタスクについて

    • 観測事象やインジケーターなどのエンティティがケースにリンクされると、そのエンティティに存在するすべての MITRE テクニックの関連付けが自動的にケースにロールアップされます。
    • 観測事象やインジケーターなどのエンティティがケースからリンク解除されて削除されると、そのエンティティに存在するケースからロールアップされたすべての MITRE テクニックの関連付けが自動的に削除され、ケースにロールアップされます。

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. [脅威の Analyst Workbench] アイコンをクリックします。
    3. 検索項目 ケース管理 > すべてのケース.
      すべてのケースが表示されます。
    4. 任意のケースをオープンします。
    5. [アーティファクト (Artifacts)] タブに移動します。
    6. アーティファクト関連リストから [ 観測事象 ] を選択します。
    7. [リンク] ボタンを選択します。
    8. ケースにリンクできる観測事象を選択します。
    9. [リンク] をクリックして観測事象をリンクします。
      観測事象をケースにリンクすると、その特定の観測事象に関連付けられた MITRE テクニックが自動的にロールアップされ、[アーティファクト] セクションの [MITRE テクニック] リストの数が自動的に更新されます。
    10. [ リンクを解除 ] をクリックして、ケースから観測事象のリンクを解除します。
      観測事象をケースにリンク解除すると、その特定の観測事象に関連付けられた MITRE テクニックが自動的に削除され、[アーティファクト] セクションの [MITRE テクニック] リストの数が自動的に更新されます。