Definieren Sie die Datenquellen- und Erkennungstool-Zuordnung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Definieren Sie die Datenquellen- und Erkennungstool-Zuordnung für MITRE-ATT&CK Taktiken und Techniken. Die Datenquellenzuordnung bietet Ihnen Einblicke in die Relevanz und Verfügbarkeit der Datenquellen und der Erkennungstools zur Überwachung der Datenquellen in Ihrer Umgebung.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Schreibzugriff, Löschzugriff
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Datenquellen und Erkennungstools identifizieren, die Ihre Organisation benötigt, um die Techniken effektiv zu erkennen.

    Wenn sich Ihre Organisation beispielsweise auf 5 Techniken konzentriert, benötigen Sie möglicherweise 10 Datenquellen und 10 Erkennungstools, um diese Quellen zu überwachen. Nehmen wir an, dass Sie feststellen, dass Ihre Organisation nicht über zwei Datenquellen und fünf Erkennungstools verfügt. Diese Übung gibt Ihnen Einblick in die Datenquellen, ihre Relevanz für Ihre Organisation und ermöglicht die Identifizierung von Lücken in der Abdeckung. Sie können sich auch auf die Verbesserung Ihrer Umgebung mit den richtigen Datenquellen und Erkennungstools konzentrieren.

    Alle aktiven Taktiken, Techniken, IDs und Datenquellen werden basierend auf automatisch ausgefüllt TAXII Profil

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Datenquellenzuordnungan.

      Die folgende Abbildung zeigt die Liste der Taktiken, Techniken und deren IDs, die basierend auf Ihren Sammlungsaktualisierungen ausgefüllt wurden.

      Datenquellen zuordnen.

      Feld Beschreibung
      Taktik Ziel des Angreifers oder Grund für die Ausführung einer Aktion.
      ID Eindeutige Identität der Technik.
      Technik Wie ein Angreifer durch Ausführen einer Aktion ein taktisches Ziel erreicht.
      Datenquelle Datenquelle, die der Technik zugeordnet ist.
      Datenquelle widerrufen Die Datenquelle wird widerrufen, wenn sie auf „wahr“ festgelegt ist, die Datenquellenzuordnung wird jedoch beibehalten.

      Wenn der Datenquellenwert in nicht gefunden wird MITRE, Wird der Wert „Datenquelle widerrufen“ automatisch als „wahr“ markiert. Die Datenquellenzuordnung für einen Datensatz wird widerrufen, wenn die Technik- und Datenquellenbeziehungen in der aktualisiert fehlen MITRE Daten.

      Standardwert: false
      Datenquelle verfügbar Verfügbarkeit der Datenquelle.
      Erkennungstool Tool, das die Datenquelle durch Erkennung der verwendeten Techniken ergänzt. Das Erkennungstool wird dem Warnungssensor in zugeordnet SIR.
      Widerrufen Die Datenquellenzuordnung für einen Datensatz wird widerrufen, wenn die Technik- und Datenquellenbeziehungen in der aktualisiert fehlen MITRE Daten.

      Standardwert: false
    2. Überprüfen Sie die aufgeführten Datenquellen, und ändern Sie den Wert in Datenquelle Verfügbar Feld basierend auf Ihrer Umgebung.
    3. Hinweis:
      Sie können diesen Eintrag nicht in der Listenansicht bearbeiten.
      In Erkennungstool Führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf das Informationssymbol und dann auf Öffnen Sie Den Datensatz .
      2. Entsperren Erkennungstool Eintrag.
      3. Verwenden Sie die Suchliste, um ein Erkennungstool auszuwählen. Sie können Erkennungstools mehrfach auswählen.
      4. Klicken Sie auf Aktualisieren.

      In der folgenden Abbildung werden mehrere Erkennungstools hinzugefügt, um die Datenquelle zu überwachen.

      So ordnen Sie das Erkennungstool zu.