데이터 소스 및 탐지 도구 매핑 정의

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 전술 및 기술에 대한 데이터 소스와 탐지 도구 매핑을 MITRE-ATT&CK 정의합니다. 데이터 원본 매핑은 데이터 원본의 관련성 및 가용성에 대한 통찰력과 사용자 환경에서 데이터 원본을 모니터링하기 위한 탐지 도구를 제공합니다.

    시작하기 전에

    필요한 역할:
    • sn_ti.admin, sn_si.admin: 쓰기, 삭제 권한
    • sn_ti.read: 읽기 권한

    이 태스크 정보

    조직에서 기술을 효과적으로 탐지하는 데 필요한 데이터 소스와 탐지 도구를 식별할 수 있습니다.

    예를 들어 조직에서 5가지 기술에 중점을 두는 경우 이러한 소스를 모니터링하기 위해 10개의 데이터 소스와 10개의 탐지 도구가 필요할 수 있습니다. 조직에 두 개의 데이터 원본과 다섯 개의 검색 도구가 없다는 것을 확인했다고 가정해 보겠습니다. 이 연습을 통해 데이터 원본, 조직과의 관련성을 파악하고 범위의 격차를 식별할 수 있습니다. 또한 올바른 데이터 원본과 검색 도구를 사용하여 환경을 개선하는 데 집중할 수 있습니다.

    모든 활성 전술, 기술, ID 및 데이터 소스는 다음을 기반으로 자동으로 채워집니다. TAXII 프로파일

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 관리 > 데이터 소스 매핑레이블이 표시됩니다.

      다음 그림에서는 컬렉션 업데이트에 따라 채워진 전술, 기술 및 해당 ID의 목록을 보여 줍니다.

      데이터 소스를 매핑합니다.

      필드 설명
      방법 악의적 사용자의 목표 또는 작업을 수행하는 이유입니다.
      ID 테크닉의 독특한 아이덴티티.
      기술 악의적 사용자가 작업을 수행하여 전술적 목표를 달성하는 방법입니다.
      데이터 소스 기술과 연결된 데이터 소스입니다.
      데이터 소스 해지됨 true로 설정하면 데이터 소스가 해지되지만 데이터 소스 매핑은 계속 유지됩니다.

      에서 데이터 소스 값을 찾을 MITRE수 없는 경우, 해지된 데이터 소스 값이 자동으로 true로 표시됩니다. 업데이트된 MITRE 데이터에서 기술 및 데이터 소스 관계가 누락된 경우 기록에 대한 데이터 소스 매핑이 취소됩니다.

      기본값: false
      사용 가능한 데이터 소스 데이터 소스의 가용성입니다.
      탐지 도구 사용되는 기술을 탐지하여 데이터 소스를 보완하는 도구입니다. 탐지 도구는 의 SIR경보 센서와 매핑됩니다.
      해지됨 업데이트된 MITRE 데이터에서 기술 및 데이터 소스 관계가 누락된 경우 기록에 대한 데이터 소스 매핑이 취소됩니다.

      기본값: false
    2. 나열된 데이터 소스를 검토하고 사용자 환경에 따라 사용 가능한 데이터 소스 필드 의 값을 수정합니다.
    3. 주:
      목록 뷰에서 이 항목을 편집할 수 없습니다.
      Detection Tool(탐지 도구) 필드에서 다음 단계를 수행합니다.
      1. 정보 아이콘을 클릭하고 기록 열기를 클릭합니다.
      2. 탐지 도구 잠금 해제 항목.
      3. 조회 목록을 사용하여 탐지 도구를 선택합니다. 탐지 도구를 여러 개 선택할 수 있습니다.
      4. 업데이트를 클릭합니다.

      다음 그림에서는 데이터 원본을 모니터링하기 위해 여러 검색 도구가 추가되었습니다.

      검색 도구를 매핑하는 방법입니다.