Führen Sie Linkanalysen und Bedrohungssuche mit MITRE-ATT&CK -spezifischen Filtern durch

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Korrelieren und führen Sie Linkanalysen von erkennbaren Elementen, Security Incidents und MITRE-ATT&CK zugehörigen Informationen durch, damit Ihr Unternehmen mit der Suche nach Bedrohungen beginnen kann.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.mitre_analyst, sn_si.read

    Warum und wann dieser Vorgang ausgeführt wird

    Nachdem Sie die Security Incidents den Informationen von MITRE-ATT&CK zugeordnet haben, können Sie die spezifischen Filter von MITRE-ATT&CK für die Bedrohungssuche verwenden. Verwenden Sie die MITRE-ATT&CK -Filter mit den vorhandenen Security Incident Response -Filtern, um eine Linkanalyse zu korrelieren und durchzuführen.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigen.
    2. Klicken Sie auf Personalisierte Liste aktualisieren, um die Spalten MITRE hinzuzufügen.
    3. Wählen Sie eine Filterbedingung aus, damit Sie MITRE zugehörige Informationen und Zuordnungen zu Security Incidents oder erkennbaren Elementen anzeigen können:
      • MITRE-ATT&CK Angreifergruppe
      • MITRE-ATT&CK Datenquelle
      • MITRE-ATT&CK Verfahren (Malware)
      • MITRE-ATT&CK Vorgehensweise (Tools)
      • MITRE-ATT&CK Taktik
      • MITRE-ATT&CK Technik
    4. Erstellen Sie eine Filterbedingung, die auf den oben genannten Kriterien basiert, und klicken Sie auf Ausführen, um eine Linkanalyse oder Korrelation zwischen Security Incidents, erkennbaren Elementen und MITRE-ATT&CK zugehörigen Informationen durchzuführen.
      Hinweis:
      Die Daten MITRE-ATT&CK werden als Zeichenfolge gespeichert, und Sie können für Filterbedingungen nur „ contains “ als Operator verwenden.

      Wenn Sie beispielsweise überprüfen möchten, ob ein Konfigurationselement (CI) gefährdet ist, wählen Sie ein CI aus. Anschließend korrelieren Sie das CI mit vorhandenen Techniken, indem Sie eine MITRE-ATT&CK Technik-ID hinzufügen. Sie können dann Ihre Filterkriterien weiterentwickeln, um die Informationen zu korrelieren und die Bedrohungssuche durchzuführen.

      MITRE-Filterbedingungen für die Bedrohungsanalyse.