Zuordnen MITRE-ATT&CK Informationen zu Security Incidents

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Ordnen Sie zu MITRE-ATT&CK Taktiken und Techniken für den Security Incident für eine bessere Analyse von Security Incidents und Bedrohungen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Fügen Sie hinzu MITRE-ATT&CK Informationen zu Taktiken und Techniken mit dem Security Incident verknüpfen, damit Sie Ihre Security Incident- und Bedrohungsinformationen für eine bessere Analyse korrelieren können. Beispielsweise kann Ihre Organisation Informationen im Zusammenhang mit Taktiken, Techniken und Verfahren (TTP) aus Ihren Drittparteiquellen erhalten, z. B. Threat Intelligence Berichte oder andere Quellen außerhalb von Security Incident Response. Sie fügen diese Informationen dann wieder zu hinzu SIR Für eine bessere Korrelation und Bedrohungsanalyse.

    Sie können einen Rollup von durchführen MITRE-ATT&CK Informationen automatisch aus den Ergebnissen der automatischen Extraktion der Bedrohungssuche, aus erkennbaren Elementen oder aus einem untergeordneten Security Incident zu einem Security Incident. Für automatisches Rollup zu Security Incidents, Aktivieren Sie die Systemeigenschaft . Alternativ können Sie die Informationen für jede einzelne Bedrohungssuche oder manuell zusammenfassen Erkennbares Element .

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie mit anreichern möchten MITRE-ATT&CK Informationen.
    3. Klicken Sie auf Ordnen Sie DIE MITRE ATT&CK-Technik zu Zugehöriger Link.
      Der Bereich MITRE ATT&CK-Technik zuordnen wird angezeigt.

      Diese Abbildung zeigt, wie Sie zur zugehörigen Liste navigieren und nach „Zuordnen“ suchen MITRE-ATT&CK Technik, überprüfen Sie die Quelle Enterprise ATT&CK, fügen Sie eine taktische Auswirkung hinzu, und fügen Sie ein Techniksystem herunter/neu starten hinzu.

    4. Wählen Sie Aus Quelle .
      Hinweis:
      Nur die Sammlungen Und Matrizen Aktivierte werden in der Quellliste angezeigt.
      Die Taktiken und Techniken, die der Quelle zugeordnet sind, können ausgewählt werden. Sie können auch mehrere Quellen zuordnen.
    5. Wählen Sie aus Taktik Und Techniken .
    6. Wahlweise: Überprüfen Sie die Informationen basierend auf der Relevanz für den Security Incident, und gehen Sie wie folgt vor:
      • Um die Zuordnung vollständig zu entfernen, klicken Sie auf das bin-Symbol. Durch Klicken auf dieses Symbol werden die Quelle und die zugehörigen Taktiken und Techniken gelöscht.
      • Um eine Taktik zu entfernen, klicken Sie auf das Minussymbol neben der Taktik.
      • Um eine Technik zu entfernen, klicken Sie auf das x-Symbol neben der Technik.
    7. Klicken Sie auf Speichern.

    Ergebnisse

    Die MITRE-ATT&CK Informationen sind dem Security Incident zugeordnet. Sie können jetzt die zugehörigen Informationen in anzeigen MITRE ATT&CK-KARTE .

    Zuordnen MITRE-ATT&CK Informationen zu geschlossenen Security Incidents

    Sie können jetzt zuordnen MITRE-ATT&CK Taktiken und Techniken für die geschlossenen Security Incidents für eine bessere Analyse von Security Incidents und Bedrohungen.

    Mit MITRE-ATT&CK Karte zum Anzeigen zugehöriger Informationen in einem Security Incident

    Sie können verwenden MITRE-ATT&CK Karte zum Anzeigen von MITRE-ATT&CK Zugehörige Informationen in einem Security Incident.

    Nachdem die Informationen aus einer Bedrohungssuche, einem erkennbaren Element oder einer SIEM-Integration zusammengefasst wurden, werden sie dem Security Incident hinzugefügt. Dann werden die zusammengefassten Informationen in angezeigt MITRE-ATT&CK Karte. Die MITRE ATT&CK-KARTE Bietet zwei Ansichten:

    • Navigatoransicht: Diese Ansicht, die der ähnelt MITRE-ATT&CK navigator: Zeigt alle Techniken an, die manuell aus den Tabellen für erkennbare Elemente oder Bedrohungssuche hinzugefügt oder zusammengefasst wurden. Ursprung der Techniken anzeigen Zeigt die Quelle der Technik an, wenn sie manuell Rollup durchgeführt wurde oder über eine Quelle geleitet wurde. ID anzeigen Zeigt die Technik-ID an.

      Die folgende Abbildung zeigt, wie Sie zu navigieren MITRE ATT&CK-KARTE navigatoransicht. Wenn Sie auf einen der verfügbaren Links klicken, werden die Informationen im geöffnet Threat Intelligence Modul.

    • Listenansicht: Diese Ansicht zeigt die Daten in einem Listen- oder Tabellenformat an. In dieser Ansicht können Sie alle Daten anzeigen, die auf verschiedene Tabellen und Gruppen verteilt sind.

      Die folgende Abbildung zeigt, wie Sie zur Listenansicht der MITRE ATT&CK-Karte navigieren. Wenn Sie auf einen der verfügbaren Links klicken, werden die Informationen im geöffnet Threat Intelligence Modul.