MITRE ATT&CK 기법 추출 방법
MITRE ATT&CK 기법 추출 방법은 추출 방법을 수행하고 관련 기술을 검증하는 방법을 설명합니다.
- 데이터 소스에 대한 추출 규칙(위협 조회는 적용되지 않음)은 엔터티(예: 옵저버블 소스 또는 객체 소스) 소스 기록이 생성될 때마다 처리됩니다.
- 규칙은 엔터티 소스 기록 내의 모든 필드에 적용할 수 있습니다(날짜, 숫자 필드, 사용 범주 및 공격 단계 제외).
- 추출된 MITRE 기술은 해당 엔터티 기록에 연결되며 관련 기록 탭의 MITRE 기술 관련 목록에서 기록을 볼 수 있습니다.주:MITRE 기술은 먼저 추출되어 엔터티 소스 기록에 연결된 다음 기술 연결이 중복 제거되고 상위 엔터티 기록으로 집계됩니다.
MITRE 기술 보기
- 다음으로 이동 를 사용하는 모든 엔터티(옵저버블 또는 객체) 기록입니다.
- 관련 기록 탭을 클릭합니다.
- MITRE 기술을 선택하고 추출된 관련 기술을 봅니다.
- MITRE 기술 연결 기록을 보고 액세스하려면 MITRE 기술 ID를 클릭합니다. 소스 열에는 MITRE 추출이 수행되는 엔터티 소스 기록에 연결된 모든 소스(소스가 하나 이상 있는 경우 쉼표로 구분됨)가 표시됩니다.주:여러 소스에서 동일한 방법 및 기술 ID를 추출하면 하나의 방법 및 기술 연결 기록만 표시되고 소스 열에는 추출된 모든 소스가 표시됩니다.
- 문제 해결을 위해 기술 소스 관계로 이동하여 방법 및 기술 연결 추출을 담당한 MITRE 추출 규칙을 볼 수 있습니다.주:추출 규칙 열이 표시되지 않는 경우 목록 작업 아이콘을 사용하여 추출 규칙 열을 추가해야 합니다.
위협 조회 실행 작업이 트리거되는 옵저버블에 대해 위협 조회 결과 기록이 생성될 때마다 위협 조회를 위한 추출 규칙이 처리되며, 위협 조회 결과 기록에서 사용할 수 있는 원시 데이터(raw_data 필드) 페이로드에서만 추출이 수행됩니다.
주:
- 추출된 엔터티(옵저버블 또는 객체) 소스 또는 MITRE ATT&CK 기술에 대한 위협 조회 결과에 전술 ID가 없는 경우 MITRE 리포지토리의 해당 기술과 연결된 모든 전술에 대해 기술 연결이 생성됩니다.
- 추출된 엔터티(옵저버블 또는 객체) 소스 또는 MITRE ATT&CK 기술에 대한 위협 조회 결과에 전술 ID가 있는 경우 기술 연결은 MITRE 리포지토리의 해당 기술과 연결된 추출된 모든 전술에 대해서만 특별히 생성됩니다.