데이터 확장 MITRE-ATT&CK

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • 리포지토리 데이터를 ServiceNow AI Platform 보강하여 확장합니다MITRE-ATT&CK.

    시작하기 전에

    필요한 역할:
    • sn_ti.admin: 액세스 삭제
    • sn_ti.read: 읽기 액세스
    • sn_ti.write: 생성, 쓰기 권한

    이 태스크 정보

    Malware, Group, Mitigation 및 Tool 개체를 리포지토리의 기술로 확장할 수 있습니다 MITRE-ATT&CK .

    MITRE ATT&CK 리포지토리 모듈에서 새 객체를 생성하고 기술과 새 객체 간의 관계를 설정할 수 있지만 이 모듈에서 관계 유형을 정의할 수는 없습니다. 관계 유형 정의에 대한 자세한 내용은 객체 대 객체 관계를 참조하십시오. 관계 유형을 정의하려면 다음으로 이동하십시오. 위협 인텔리전스 > IoC 리포지토리 > 객체-객체 관계 모듈.

    기존 기술과 기존 객체 간의 관계 유형을 매핑하는 경우 기술을 대상 객체로 정의하고 객체를 소스 객체로 정의해야 합니다. 이렇게 하려면 IoC 리포지토리 > 객체-객체 관계 모듈.

    그룹을 생성하여 공격 패턴과 연결할 수 있지만 MITRE ATT&CK 리포지토리에서는 그룹과 공격 패턴 간의 관계만 설정할 수 있습니다. 객체 간 관계 유형을 정의하려면 IoC 리포지토리에서 이를 수행해야 합니다.

    주:
    개체에 대한 모든 사용자 지정 내용은 예약된 업데이트 중에 저장됩니다.

    프로시저

    1. 다음으로 이동 위협 인텔리전스 > MITRE ATT&CK 리포지토리 > 기술.
    2. 기술 또는 하위 기술을 클릭하면 이 기술과 관련된 모든 정보를 볼 수 있습니다.
      다음 그림에서는 봇넷(T1584.005) 기술이 어떤 그룹과도 연결되지 않은 것을 볼 수 있습니다. 기술 또는 하위 기술에 대한 추가 정보가 있는 경우 정보를 추가하거나 수정하여 보강할 수 있습니다.봇넷을 다른 개체와 연결합니다.
    3. 관련 목록을 클릭하여 데이터를 보강하고 새 그룹에 연결합니다.

      다음 그림에서는 Custom1 그룹이 봇넷 하위 기술과 연결되어 있습니다.

      데이터를 보강하여 MITRE 객체 정보를 확장합니다.