MITRE-Filter für Untersuchungs-Canvas

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Mit MITRE-Filtern können Sie Filter für Taktiken, Techniken und Verfahren (TTPs) erstellen und speichern, die bestimmten Gegnern und anderen MITRE-Technikattributen zugeordnet sind.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Analysten können die auf der MITRE-Karte verfügbaren Filter verwenden, um bestimmte Akteur-TTPs zu filtern, die für an der Untersuchung beteiligte Angreifer relevant sind.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentruman.
    2. Wählen Sie aus Workbench Für Bedrohungsanalysen Symbol.
    3. Gehe zu Fallmanagement > Alle Fällean.
    4. Öffnen Sie einen beliebigen Fall.
    5. Wechseln Sie zu Untersuchungs-Canvas Registerkarte.
    6. Wählen Sie Aus Filter Zum Erstellen von Filtern für Taktiken, Techniken und Verfahren (TTPs), die bestimmten Gegnern und anderen MITRE-Technikattributen zugeordnet sind.
    7. Geben Sie die erforderlichen Werte im Filterbereich ein, um die gewünschten Filter anzuwenden.
      Im MITRE-Filterbereich können Sie MITRE ATT&CK-Techniken basierend auf ausgewählten Kriterien wie Gruppen, Malware, Tools, Tags und Priorität filtern und visualisieren.
      Feld Beschreibung
      Gespeicherte Filter Analysten können bestimmte Kriterien als speichern Gespeicherte Filter Zur Wiederverwendung. Von einem Analysten gespeicherte Filter sind anwenderspezifisch.
      Hinweis:
      Wenn Analyst X beispielsweise eine Filterkonfiguration speichert, ist sie nur für Analyst X sichtbar. Wenn sich ein anderer Analyst anmeldet und die Filter-Dropdown-Liste anzeigt, werden die von anderen gespeicherten Filter nicht angezeigt.

      Dadurch wird sichergestellt, dass jeder Anwender personalisierte Ansichten erstellen und verwalten kann, ohne die Filtereinstellungen anderer Anwender zu beeinträchtigen oder davon betroffen zu sein.
      Filtername Name des Filters.
      MITRE-Gruppe Gibt die MITRE-Gruppe an. Wählen Sie eine oder mehrere Gruppen aus, um die ihnen zugeordneten Techniken zu filtern.
      MITRE-Malware Gibt die MITRE-Malware an. Wählen Sie ein oder mehrere Malware-Elemente aus, um die ihnen zugeordneten Techniken zu filtern.
      MITRE-Tools Gibt die MITRE-Tools an. Wählen Sie ein oder mehrere Tools aus, um die ihnen zugeordneten Techniken zu filtern.
      TISC-Tags Gibt an TISC Tags. Wählen Sie ein oder mehrere Tags aus, um Techniken basierend auf ihrer Klassifizierung zu filtern.
      Priorität von Techniken Gibt die Prioritätsstufe von Techniken an. Sie können eine oder mehrere Optionen auswählen, um Techniken basierend auf ihrer zugewiesenen Priorität zu filtern.
      Alles löschen Ermöglicht Ihnen das Löschen der im Filterbereich eingegebenen Eingaben.
      Als neuen Filter speichern Speichert die im Filterbereich eingegebenen Kriterien als neuen gespeicherten Filter.
      Hinweis:
      Gespeicherter Filtername muss eindeutig sein.
      Aktuellen Filter speichern Speichert Änderungen an den Kriterien im aktuell ausgewählten gespeicherten Filter.
      Mit dieser Option können Sie einen Filter auch umbenennen.
      Hinweis:
      Gespeicherter Filtername muss eindeutig sein.
      Übernehmen Mit dieser Option können Sie die Änderungen auf Ihre Filter auf der MITRE-Karte anwenden.
      Löschen Wählen Sie diese Option aus, um einen ausgewählten gespeicherten Filter zu entfernen.

      Wenn Sie auf klicken Löschen Schaltfläche neben einem gespeicherten Filter wird eine Bestätigungsnachricht angezeigt, wenn Sie diesen Filter wirklich löschen möchten. Wenn Sie diese Aktion bestätigen, wird der gespeicherte Filter dauerhaft entfernt.

      Klicken Sie auf , um einen einzelnen Feldwert im Filterbereich zu entfernen Löschen (Papierkorb) Symbol neben diesem spezifischen Feld.

      Durch Anwenden von Filtern mit diesen Werten wird die MITRE-Matrix dynamisch aktualisiert, um nur die Techniken anzuzeigen, die den ausgewählten Attributen zugeordnet sind. Diese fokussierte Ansicht ermöglicht es Analysten, sich während Untersuchungen stärker auf die relevantesten Taktiken, Techniken und Verfahren (TTPs) zu konzentrieren.

      Darüber hinaus können Analysten TTPs mithilfe von Filtern für Malware, Tools, Tags und Prioritätsstufen weiter eingrenzen.

      MITRE-Filter

    8. Wahlweise: Wählen Sie Aus Als neuer Filter speichern Um Ihre Filterkriterien zu speichern.
    9. Wählen Sie Aus Anwenden Zum Anwenden der Änderungen.

    Filterung nach MITRE-Gruppe

    Wählen Sie eine MITRE-Gruppe als APT32 (G1001, siehe folgenden Screenshot) aus. Wenn Sie diesen Filter anwenden, wird die MITRE-Matrix aktualisiert, um nur die Techniken anzuzeigen, die direkt mit der ausgewählten Gruppe verknüpft sind.

    Beispiel für MITRE-Filter.

    Diese fokussierte Ansicht hilft Analysten, sich insbesondere auf die Taktiken, Techniken und Verfahren (TTPs) zu konzentrieren, die der ausgewählten Bedrohungsgruppe zugeordnet sind.

    Wenn Sie den Filter anwenden, werden einige Techniken in der Matrix in blauem Text angezeigt, während andere Techniken in grau angezeigt werden.

    MITRE-Techniken und Untertechniken der TISC-Untersuchungs-Canvas.

    Die visuelle Darstellung im MITRE-Framework zeigt an, wie Techniken und Untertechniken sich auf die angewendeten Filter und den Untersuchungskontext beziehen.
    • Blauer Text: Techniken oder Untertechniken, die in blauem Text angezeigt werden, geben diejenigen an, die den Filterkriterien entsprechen.
    • Blauer Text in Fettdruck mit blauem Rahmen: Techniken oder Untertechniken, die in fett gedrucktem blauem Text mit blauem Rahmen angezeigt werden, geben diejenigen an, die den Filterkriterien entsprechen und einem oder mehreren Knoten auf der Canvas zugeordnet sind.
    • Graue Karte: Übergeordnete Techniken werden grau angezeigt, wenn sie nicht direkt den Filterkriterien entsprechen (d. h. sie sind nicht mit der ausgewählten Gruppe verknüpft), sie werden jedoch angezeigt, um die Elternbeziehung zu verknüpften Untertechniken darzustellen, die den Filterkriterien entsprechen.