Erweitern Sie die Daten MITRE-ATT&CK .
Erweitern Sie die Repository-Daten [ MITRE-ATT&CK in Now Platform, indem Sie sie anreichern.
Vorbereitungen
- sn_ti.admin: Zugriff löschen
- sn_ti.read: Lesezugriff
- sn_ti.write: Erstellen, Schreibzugriff
Warum und wann dieser Vorgang ausgeführt wird
Sie können die Objekte „Malware“, „Gruppe“, „Mitigation“ und „Tool“ auf eine Technik im Repository MITRE-ATT&CK erweitern.
Sie können ein neues Objekt erstellen und eine Beziehung zwischen einer Technik und dem neuen Objekt im Modul MITRE ATT&CK-Repository herstellen, aber Sie können den Beziehungstyp in diesem Modul nicht definieren. Weitere Informationen zum Definieren von Beziehungstypen finden Sie unter Objekt-zu-Objekt-Beziehungen. Um einen Beziehungstyp zu definieren, navigieren Sie zum -Modul.
Wenn Sie den Beziehungstyp zwischen einer vorhandenen Technik und einem vorhandenen Objekt zuordnen, müssen Sie die Technik als Zielobjekt und das Objekt als Quellobjekt definieren. Navigieren Sie dazu zum -Modul.
Sie können eine Gruppe erstellen und einem Angriffsmuster zuordnen, aber im MITRE ATT&CK-Repository können Sie nur die Beziehung zwischen der Gruppe und dem Angriffsmuster herstellen. Um den Objekt-zu-Objekt-Beziehungstyp zu definieren, müssen Sie dies im IoC-Repository tun.
Prozedur
-
Klicken Sie auf eine Technik oder Untertechnik, um alle zugehörigen Informationen zu dieser Technik anzuzeigen.
In der folgenden Abbildung sehen Sie, dass die Botnet-Technik (T1584.005) keiner Gruppe zugeordnet ist. Wenn Sie zusätzliche Informationen zu einer Technik oder Untertechnik haben, können Sie diese ergänzen, indem Sie die Informationen hinzufügen oder ändern.
-
Klicken Sie auf eine zugehörige Liste, um ihre Daten anzureichern und sie einer neuen Gruppe zuzuordnen.
In der folgenden Abbildung wurde die Gruppe Custom1 der Botnet-Subtechnik zugeordnet.