Definieren Sie die Datenquelle und die Zuordnung des Erkennungstools

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Definieren Sie die Datenquellen- und Erkennungstool-Zuordnung für MITRE-ATT&CK -Taktiken und -Techniken. Die Datenquellenzuordnung bietet Einblicke in die Relevanz und Verfügbarkeit der Datenquellen und die Erkennungstools für die Überwachung der Datenquellen in Ihrer Umgebung.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Schreib-, Löschzugriff
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Datenquellen und Erkennungstools identifizieren, die Ihre Organisation benötigt, um die Techniken effektiv zu erkennen.

    Wenn sich Ihre Organisation beispielsweise auf 5 Techniken konzentriert, benötigen Sie möglicherweise 10 Datenquellen und 10 Erkennungstools, um diese Quellen zu überwachen. Angenommen, Sie stellen fest, dass Ihre Organisation nicht über zwei Datenquellen und fünf Erkennungstools verfügt. Diese Übung gibt Ihnen Einblick in die Datenquellen und ihre Relevanz für Ihre Organisation. Außerdem können Sie Lücken in der Abdeckung identifizieren. Sie können sich auch auf die Verbesserung Ihrer Umgebung mit den richtigen Datenquellen und Erkennungstools konzentrieren.

    Alle aktiven Taktiken, Techniken, IDs und Datenquellen werden basierend auf Ihrer automatisch ausgefüllt TAXII Profil

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Datenquellenzuordnung.

      Die folgende Abbildung zeigt die Liste der Taktiken, Techniken und deren IDs, die basierend auf Ihren Sammlungsaktualisierungen ausgefüllt wurden.

      Kartendatenquellen.

      Feld Beschreibung
      Taktik Ziel des Angreifers oder Grund für die Ausführung einer Aktion.
      ID Eindeutige Identität der Technik.
      Technik Wie ein Angreifer ein taktisches Ziel erreicht, indem er eine Aktion ausführt.
      Datenquelle Datenquelle, die der Technik zugeordnet ist.
      Datenquelle widerrufen Die Datenquelle wird widerrufen, wenn sie auf „wahr“ gesetzt ist, die Datenquellenzuordnung bleibt jedoch erhalten.

      Wenn der Datenquellenwert nicht in MITREgefunden wird, wird der Wert Datenquelle widerrufen automatisch als „true“ markiert. Die Datenquellenzuordnung für einen Datensatz wird widerrufen, wenn die Beziehungen zwischen Technik und Datenquelle in den aktualisierten MITRE Daten fehlen.

      Standardwert: false
      Datenquelle verfügbar Verfügbarkeit der Datenquelle.
      Erkennungstool Tool, das die Datenquelle durch Erkennung der verwendeten Techniken ergänzt. Das Erkennungstool wird dem Warnungssensor in SIRzugeordnet.
      Widerrufen Die Datenquellenzuordnung für einen Datensatz wird widerrufen, wenn die Beziehungen zwischen Technik und Datenquelle in den aktualisierten MITRE Daten fehlen.

      Standardwert: false
    2. Überprüfen Sie die aufgelisteten Datenquellen, und ändern Sie den Wert im Feld Verfügbare Datenquelle basierend auf Ihrer Umgebung.
    3. Hinweis:
      Sie können diesen Eintrag nicht in der Listenansicht bearbeiten.
      Führen Sie im Feld Erkennungstool die folgenden Schritte aus:
      1. Klicken Sie auf das Informationssymbol und dann auf Datensatz öffnen.
      2. Entsperren des Erkennungstool- Eintrags
      3. Verwenden Sie die Nachschlageliste, um ein Erkennungstool auszuwählen. Sie können mehrere Erkennungstools auswählen.
      4. Klicken Sie auf Aktualisieren.

      In der folgenden Abbildung werden mehrere Erkennungstools hinzugefügt, um die Datenquelle zu überwachen.

      So ordnen Sie das Erkennungstool zu.