Richten Sie ein MITRE-ATT&CK Framework

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Aktivieren Sie MITRE-ATT&CK Profil und richten Sie eine geplante Aufgabe ein, damit Sie einrichten können MITRE-ATT&CK Sammlungen für die Bedrohungserkennung in Ihrer Organisation.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Strukturierter Bedrohungsinformationsausdruck ( STIX™) Ist eine Sprache für die standardisierte und strukturierte Beschreibung von Informationen zu Cyberbedrohungen. Verwendung von STIX-Daten und vertrauenswürdigem automatisierten Austausch von Indikatorinformationen ( TAXII™) Profile, Sicherheitsteams können gemeinsam genutzte Cyberbedrohungsinformationen verwenden, um Bedrohungen zu isolieren, die zuvor von Ihrem Unternehmen und aus anderen Quellen identifiziert wurden.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > Quellen > TAXII-Profilean.
      Sie sehen die verfügbar TAXII Profile.
    2. Klicken Sie auf MITRE ATT&CK Profil, das mit dem Basissystem bereitgestellt wird.

      Threat Intelligence: MITRE ATT&CK-Profil.
    3. Zum Aktivieren von TAXII Sammlung, legen Sie fest Aktiv Option auf „wahr“ für TAXII Sammlung, die für Ihre Organisation relevant ist (Enterprise ATT&CK, Mobile ATT&CK oder ICS ATT&CK).
      TAXII-Sammlung Beschreibung
      Enterprise ATT&CK Beschreibt das Verhalten und die Aktionen, die ein Angreifer ergreift, um in einem Unternehmensnetzwerk und in der Cloud zu kompromittieren und zu arbeiten.
      Hinweis:
      Die Matrix vor ATT&CK wurde von veraltet MITRE Und wird mit der Enterprise-Matrix zusammengeführt.
      ATT&CK mobil Beschreibt das Verhalten und die Aktionen von Angreifern, die sich auf Mobilgeräte konzentrieren.
      ICS ATT&CK Beschreibt die Aktionen, die ein Angreifer beim Betrieb in einem ICs-Netzwerk (Industrial Control Systems) ausführt.
    4. Um die Sammlung regelmäßig zu aktualisieren, legen Sie fest Ausführen Option entsprechend für Ihre Organisation.
      Standardmäßig ist diese Option auf „bei Bedarf“ festgelegt.
      Hinweis:
      1. Sammlungen werden als Teil von verpackt Threat Intelligence Core-Plugin. Durch die Installation oder Aktualisierung von Threat Intelligence Support Common – Version 12,0 oder höher und Threat Intelligence – Version 12,0 oder höher wird sichergestellt, dass Ihre Sammlungsdaten automatisch ausgefüllt werden.
      2. Aktivieren Sie TAXII Sammlung nur für die Sammlung, die Sie in Ihrer Organisation verwenden möchten, und deaktivieren Sie die anderen Sammlungen. Wenn Sie beispielsweise die Enterprise ATT&CK-Matrix verwenden möchten, aktivieren Sie Enterprise ATT&CK im TAXII Sammlungsebene und auf der Matrizen Ebene. Deaktivieren Sie die anderen Mobile ATT&CK- und ICs ATT&CK-Matrizen im TAXII Sammlung und auf Matrizenebene.
      3. In TAXII Zugehörige Listen für Sammlungen: Wenn Sie die Option „Ausführen“ auf „täglich“ auswählen, tritt ein Fehler auf, und die Option ist standardmäßig auf „bei Bedarf“ festgelegt. Dieser Fehler tritt beim Planen von auf MITRE-ATT&CK Die tägliche Datenaktualisierung ist beschränkt, um die Last auf zu optimieren MITRE Server. Außerdem MITRE Aktualisiert die ATT&CK-Daten nur zweimal im Jahr.
      4. Die TAXII Sammlungen werden erst aktualisiert, wenn Sie aktivieren TAXII Sammlung.
      5. Aktualisierungen vorhandener Sammlungen können aus abgerufen werden MITRE Server, indem die Ausführungshäufigkeit in jeder Sammlung geplant wird.
      6. Die Anpassungen, die Sie an vornehmen MITRE-ATT&CK Repository-Daten (Malware-, Gruppen-, Minderungs- und Tool-Objekte in einer Technik) werden während geplanter Updates gespeichert.
      7. MITRE Aktualisiert MITRE-ATT&CK Knowledge Base, in der einige Objekte als widerrufen oder veraltet identifiziert, neue Objekte hinzugefügt oder vorhandene Objekte geändert werden. Wenn MITRE Widerruft jede Taktik oder Technik. Dann werden diese Objekte in als widerrufen markiert ServiceNow AI Platform. Die widerrufenen Objekte werden im Repository beibehalten, sind jedoch nicht zur Verwendung in verfügbar ServiceNow AI Platform.

    Nächste Maßnahme

    Nachdem das Setup des TAXII-Profils abgeschlossen ist, wird die MITRE-ATT&CK Repository-Daten werden in regelmäßigen Abständen in importiert ServiceNow AI Platform®. Sie können diese Daten anzeigen, indem Sie zu navigieren MITRE ATT&CK-Repository > Matrizen und MITRE ATT&CK-Repository > Technikenan.