Techniken verwalten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwalten Sie die Techniken, die aus den MITRE TAXII -Sammlungen importiert wurden. Die Techniken beinhalten verschiedene Möglichkeiten, die Angreifer entwickelt haben, um eine bestimmte Taktik anzuwenden. Sie können Techniken überprüfen und deaktivieren, die für Ihre Organisation nicht relevant sind. In STIXwerden Techniken als Angriffsmuster bezeichnet.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin: Zugriff löschen
    • sn_si.admin: Zugriff erstellen, schreiben, löschen
    • sn_ti.read: Lesezugriff
    • sn_ti.write: Erstellen, Schreibzugriff

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Repository > Techniken.
      Zeigen Sie die Liste der Techniken und Untertechniken an.
      Die Liste der Techniken und Untertechniken wird jetzt aufgelistet.
    2. Um Techniken zu überprüfen und zu deaktivieren, die für Ihre Organisation nicht relevant sind, wechseln Sie zur Listenansicht für die ausgewählte Technik, aktualisieren in der Spalte Aktiv die Einstellung auf falseund speichern die Einstellung.
      Deaktivieren Sie die Techniken, die nicht von den anderen Objekten im MITRE-ATT&CK -Repository verwendet werden.
    3. Um eine Technik zu priorisieren, weisen Sie im Feld Relevante Priorität (Benutzerdefiniert) eine Priorität zu.
      Die relevante Priorität des Basissystems ist auf Keine festgelegt. Das Feld „ Relevante Priorität (Benutzerdefiniert) “ wird nicht aus den MITRE-ATT&CK TAXII -Sammlungen importiert, sondern aus einem benutzerdefinierten Feld, das in Now Platformeingeführt wird. Sie können die relevanten Prioritätsinformationen verwenden, um Techniken in den Dashboards, während der Datenquellenzuordnung oder bei der Analyse der Heatmap zu filtern und zu priorisieren.
    4. Klicken Sie auf eine Technik, um alle zugehörigen Informationen zu dieser Technik anzuzeigen.

      In der folgenden Abbildung können Sie die Details für jede Technik zum Entfernen des Kontozugriffs, ihre ID, Quelle und andere zugehörige Informationen anzeigen.

      Zeigen Sie die Angriffsmustertechnik und die zugehörigen Informationen an.
      Hinweis:
      Das von MITRE eingeführte Element „Datenquelle: Datenkomponente“ ersetzt das vorherige Feld „Datenquelle“. Die Datenkomponente stellt den Datenquellen eine zusätzliche Kontextebene bereit. Wenn Ihr MITRE-ATT&CK -Repository die alten TAXII -Sammlungen enthält, können Sie das Feld Datenquelle anzeigen. Andernfalls können Sie die Datenquellen mit dem zusätzlichen Kontext von Datenkomponenten im Feld Datenquelle: Datenkomponente anzeigen. Sie können das neue Datenkomponentenfeld nur anzeigen, wenn die Quelle Enterprise ATT&CK ist. Weitere Informationen finden Sie unter Datenkomponentenzuordnung.
    5. Um anzuzeigen, wie diese Objekte verknüpft sind, klicken Sie auf Beziehungenanzeigen.

    Nächste Maßnahme

    Sie können die Informationen in einigen dieser zugehörigen Listenobjekte erweitern. Sie können beispielsweise neue Informationen für Gruppe, Verringerung und externe Referenzen hinzufügen.