Realizar análise de link e busca de ameaças usando MITRE-ATT&CK filtros específicos

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Correlacione e execute análises de link de observáveis, incidentes de segurança e MITRE-ATT&CK informações relacionadas para que sua organização possa começar a procurar ameaças.

    Antes de Iniciar

    Função necessária: sn_ti.mitre_analyst, sn_si.read

    Por Que e Quando Desempenhar Esta Tarefa

    Depois de associar os incidentes de segurança às informações de MITRE-ATT&CK, você pode usar os filtros específicos de MITRE-ATT&CK para a busca de ameaças. Use os filtros MITRE-ATT&CK com os filtros Security Incident Response existentes para correlacionar e executar a análise de link.

    Procedimento

    1. Navegar até Todos > Incidentes de segurança > Mostrar Todos os Incidentes.
    2. Clique em Atualizar lista personalizada para adicionar as colunas MITRE.
    3. Selecione uma condição de filtro para que você possa exibir MITRE informações relacionadas e associações com incidentes de segurança ou observáveis:
      • MITRE-ATT&CK Grupo adversário
      • MITRE-ATT&CK Fonte de dados
      • MITRE-ATT&CK Procedimento (malware)
      • MITRE-ATT&CK Procedimento (ferramentas)
      • MITRE-ATT&CK Tática
      • MITRE-ATT&CK Técnica
    4. Crie uma condição de filtro que se baseie nos critérios acima e clique em Executar para executar uma análise de link ou correlação entre incidentes de segurança, observáveis e MITRE-ATT&CK informações relacionadas.
      Nota:
      Os dados MITRE-ATT&CK são armazenados como uma cadeia de caracteres e você só pode usar contém como o operador para condições de filtro.

      Por exemplo, se você quiser revisar se um item de configuração (IC) está comprometido, selecione um IC. Em seguida, você correlaciona o IC com as técnicas presentes adicionando um MITRE-ATT&CK ID de técnica. Você pode continuar a criar seus critérios de filtro para correlacionar as informações e para a busca de ameaças.

      Condições de filtro do MITRE para análise de ameaças.