Techniken verwalten

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwalten Sie die Techniken, die aus importiert wurden MITRE TAXII Sammlungen. Die Techniken enthalten verschiedene Methoden, die Angreifer entwickelt haben, um eine bestimmte Taktik anzuwenden. Sie können Techniken überprüfen und deaktivieren, die für Ihre Organisation nicht relevant sind. In STIX, Techniken werden als Angriffsmuster bezeichnet.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin: Zugriff löschen
    • sn_si.admin: Zugriff erstellen, schreiben, löschen
    • sn_ti.read: Lesezugriff
    • sn_ti.write: Schreibzugriff erstellen

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Repository > Technikenan.
      Zeigen Sie die Liste der Techniken und Untertechniken an.
      Die Liste der Techniken und Subtechniken ist jetzt aufgeführt.
    2. Um Techniken zu überprüfen und zu deaktivieren, die für Ihre Organisation nicht relevant sind, wechseln Sie zur Listenansicht für die ausgewählte Technik, und aktualisieren Sie in der Spalte aktiv die Einstellung auf Falsch , Und speichern Sie die Einstellung.
      Deaktivieren Sie die Techniken, die nicht von anderen Objekten in verwendet werden MITRE-ATT&CK Repository.
    3. Um eine Technik zu priorisieren, weisen Sie im eine Priorität zu Relevante Priorität (Anwenderdefiniert) Feld.
      Die für das Basissystem relevante Priorität ist auf „keine“ festgelegt. Die Relevante Priorität (Anwenderdefiniert) Feld wird nicht aus importiert MITRE-ATT&CK TAXII Sammlungen, aber ein anwenderdefiniertes Feld wurde in eingeführt ServiceNow AI Platform. Sie können die relevanten Prioritätsinformationen verwenden, um Techniken in den Dashboards, während der Datenquellenzuordnung oder bei der Analyse der Heatmap zu filtern und zu priorisieren.
    4. Klicken Sie auf eine Technik, um alle mit dieser Technik verknüpften Informationen anzuzeigen.

      In der folgenden Abbildung können Sie die Details für jede Technik zur Entfernung des Account-Zugriffs, ihre ID, Quelle und andere zugehörige Informationen anzeigen.

      Zeigen Sie die Angriffsmustertechnik und die zugehörigen Informationen an.
      Hinweis:
      Die Datenquelle: Datenkomponentenelement eingeführt von MITRE Ersetzt das vorherige Datenquellenfeld. Die Datenkomponente stellt den Datenquellen eine zusätzliche Unterebene des Kontexts bereit. Wenn Ihr MITRE-ATT&CK Repository enthält das alte TAXII Sammlungen, dann können Sie das Feld Datenquelle anzeigen. Andernfalls können Sie die Datenquellen mit dem zusätzlichen Kontext von Datenkomponenten im Feld Datenquelle: Datenkomponente anzeigen. Sie können das Feld „neue Datenkomponente“ nur anzeigen, wenn die Quelle Enterprise ATT&CK ist. Weitere Informationen finden Sie unter Datenkomponentenzuordnung .
    5. Um anzuzeigen, wie diese Objekte zusammenhängen, klicken Sie auf Beziehungen Anzeigen .

    Nächste Maßnahme

    Sie können Erweitern Sie die Informationen In einigen dieser zugehörigen Listenobjekte. Sie können beispielsweise neue Informationen für Gruppen-, Minderung- und externe Referenzen hinzufügen.