MITRE-ATT&CK 프레임워크 설정

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • MITRE-ATT&CK 조직에서 위협 탐지를 위한 컬렉션을 설정할 MITRE-ATT&CK 수 있도록 프로필을 활성화하고 예약된 작업을 설정합니다.

    시작하기 전에

    필요한 역할: sn_ti.admin

    이 태스크 정보

    구조화된 위협 정보 표현(STIX™)은 사이버 위협 정보를 표준화되고 구조화된 방식으로 설명하기 위한 언어입니다. STIX 데이터 및 신뢰할 수 있는 지표 정보() 프로필의 자동화된 교환을TAXII™ 사용하여 보안 팀은 공유된 사이버 위협 정보를 사용하여 회사 및 다른 소스에서 이전에 식별된 위협을 격리할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > 소스 > TAXII 프로파일.
      사용 가능한 TAXII 프로파일이 표시됩니다.
    2. 기본 시스템과 함께 제공되는 MITRE ATT&CK 프로필을 클릭합니다.

      위협 인텔리전스: MITRE ATT&CK 프로필.
    3. 컬렉션을 활성화하려면 TAXII 조직과 관련된 컬렉션(Enterprise ATT&CK, Mobile ATT&CK 또는 ICS ATT&CK)에 대해 TAXII활성 옵션을 true로 설정합니다.
      TAXII 컬렉션 설명
      엔터프라이즈 ATT&CK 악의적 사용자가 엔터프라이즈 네트워크 및 클라우드에서 손상시키고 운영하기 위해 취하는 동작과 작업을 설명합니다.
      주:
      Pre ATT&CK 매트릭스는 엔터프라이즈 매트릭스에서 MITRE 더 이상 사용되지 않으며 엔터프라이즈 매트릭스와 병합됩니다.
      모바일 ATT&CK 모바일 장치에 초점을 맞춘 악의적 동작 및 작업을 설명합니다.
      ICS ATT&CK ICS(산업 제어 시스템) 네트워크 내에서 작업하는 동안 악의적 사용자가 취하는 작업에 대해 설명합니다.
    4. 컬렉션을 정기적으로 새로 고치려면 조직에 맞게 실행 옵션을 설정합니다.
      기본적으로 이 옵션은 요청 시로 설정됩니다.
      주:
      1. 컬렉션은 Core 플러그인의 위협 인텔리전스 일부로 패키지됩니다. Threat Intelligence Support Common 버전 12.0 이상 및 Threat Intelligence 버전 12.0 이상을 설치하거나 업데이트하면 수집 데이터가 자동으로 채워집니다.
      2. 조직에서 사용하려는 컬렉션에 대해서만 컬렉션을 활성화 TAXII 하고 다른 컬렉션은 비활성화합니다. 예를 들어 엔터프라이즈 ATT&CK 매트릭스를 사용하려면 컬렉션 수준과 매트릭스 수준에서 엔터프라이즈 ATT&CK TAXII 를 활성화합니다. 수집 및 매트릭스 수준에서 다른 Mobile ATT&CK 및 ICS ATT&CK 매트릭스 TAXII 를 비활성화합니다.
      3. TAXII 컬렉션 관련 목록에서 실행 옵션을 매일로 선택하면 오류가 발생하고 옵션이 요청 시로 기본 설정됩니다. 이 오류는 서버의 부하를 최적화하기 위해 매일 데이터 새로 고침을 MITRE-ATT&CKMITRE 예약하는 것이 제한되기 때문에 발생합니다. MITRE 또한 ATT&CK 데이터는 일년에 두 번만 업데이트됩니다.
      4. TAXII 컬렉션을 활성화하지 않으면 컬렉션이 TAXII 새로 고쳐지지 않습니다.
      5. 기존 컬렉션에 MITRE 대한 업데이트는 각 컬렉션에서 '실행' 빈도를 예약하여 서버에서 검색할 수 있습니다.
      6. 리포지토리 데이터(맬웨어, 그룹, 완화 및 기술에 대한 도구 객체)에 대해 MITRE-ATT&CK 수행한 사용자 지정은 예약된 업데이트 중에 저장됩니다.
      7. MITREMITRE-ATT&CK 일부 개체가 해지되거나 사용되지 않는 것으로 식별되거나, 새 개체가 추가되거나, 기존 개체가 수정된 지식베이스를 업데이트합니다. 가 어떤 전술이나 기술을 취소하는 경우 MITRE 이러한 객체는 에서 취소된 ServiceNow AI Platform것으로 표시됩니다. 취소된 객체는 저장소에 보관되지만 ServiceNow AI Platform.

    다음에 수행할 작업

    TAXII 프로파일 설정이 완료되면 MITRE-ATT&CK 저장소 데이터가 정기적으로 ServiceNow AI Platform®. 다음으로 이동하여 이 데이터를 볼 수 있습니다. MITRE ATT&CK 리포지토리 > 매트릭스MITRE ATT&CK 리포지토리 > 기술.