Zuordnen MITRE-ATT&CK Informationen mit erkennbaren Elementen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Zuordnen MITRE-ATT&CK Taktiken und Techniken für ein erkennbares Element für eine bessere Analyse von Security Incidents und Bedrohungen auf granularer Ebene.

    Vorbereitungen

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Einige SIEMs können bereitstellen MITRE-ATT&CK Informationen mit Ereignissen, Warnungen oder erkennbaren Elementen. Um zuzuordnen MITRE-ATT&CK Informationen auf granularer Ebene können Sie die Informationen mit einem erkennbaren Element hinzufügen.

    Sie können einen Rollup von durchführen MITRE-ATT&CK Informationen automatisch von den erkennbaren Elementen zu einem Security Incident. Für das automatische Rollup von erkennbaren Elementen zu Security Incidents, Aktivieren Sie die Systemeigenschaft . Alternativ können Sie die Informationen für jedes erkennbare Element manuell zusammenfassen.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie mit anreichern möchten MITRE-ATT&CK Informationen.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und Zugeordnete Erkennbare Elemente Registerkarte.
    4. Zeigen Sie auf das erkennbare Element, das Sie zuordnen möchten, klicken Sie mit der rechten Maustaste, und wählen Sie es aus Ordnen Sie DIE MITRE ATT&CK-Technik zu .

      In der folgenden Abbildung sehen Sie, wie Sie von der zugehörigen Liste zu navigieren Ordnen Sie DIE MITRE ATT&CK-Technik zu , Überprüfen Sie die Quelle, und fügen Sie eine Taktik und Technik hinzu.

      Ordnen Sie MITRE ATT&CK-Informationen einem erkennbaren Element zu.
    5. Überprüfen Sie in den Quelllisten die Quelle .
      Hinweis:
      Nur die Sammlungen Und Matrizen Aktivierte werden in der Quellliste angezeigt.
    6. Überprüfen Sie Taktik Und Techniken , Und fügen Sie sie basierend auf der Relevanz für das erkennbare Element hinzu oder entfernen Sie sie.
    7. Klicken Sie auf Speichern.
      Die Taktiken und Techniken, die Sie hinzugefügt haben, werden in angezeigt MITRE-ATT&CK Informationsspalte in der zugehörigen Liste erkennbarer Elemente.
    8. Wählen Sie das erkennbare Element aus, und klicken Sie dann im Menü Aktionen auf Rollup der MITRE ATT&CK-Informationen zu SI .
      Wenn Sie aktiviert haben Automatisches Rollup von MITRE-ATT&CK Informationen von erkennbaren Elementen zu Security Incident, Dann werden die Informationen automatisch zusammengefasst. Wenn Sie das automatische Rollup nicht aktiviert haben, müssen Sie dies manuell tun.

      Die folgende Abbildung zeigt, wie ein erkennbares Element ausgewählt und ein Rollup durchgeführt wird MITRE-ATT&CK Informationen zu einem Security Incident.

      Rollup der MITRE ATT&CK-Informationen manuell vom erkennbaren Element zum Security Incident.
    9. Um eine zusammengefasste Ansicht der Techniken anzuzeigen, die den erkennbaren Elementen zugeordnet sind, wählen Sie zwei oder mehr erkennbare Elemente aus der Liste und dann aus Aktionen Klicken Sie in der Liste „ausgewählte Zeilen“ auf das Menü MITRE ATT&CK-Informationen anzeigen .

    Ergebnisse

    Eine zusammengefasste Ansicht der MITRE ATT&CK-Informationen für die ausgewählten erkennbaren Elemente wird angezeigt.