Definir a fonte de dados e o mapeamento do componente de dados

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Use o Mapeamento de componente de dados se você estiver usando as coleções TAXII mais recentes e quiser manter um relacionamento entre as fontes de dados, os componentes de dados e as várias técnicas. Mapeie as fontes de dados com o contexto adicional de componentes de dados que fornece uma subcamada extra de contexto para fontes de dados que permitem entender melhor os comportamentos do adversário em MITRE-ATT&CK.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: gravação, exclusão de acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    O mapeamento das fontes de dados e dos componentes de dados fornece visibilidade das fontes de dados ou dos componentes e das técnicas que são relevantes para sua organização.

    Por exemplo, se sua organização se concentra em 7 técnicas, talvez você precise de 5 fontes de dados e 10 componentes de dados para monitorar essas fontes. Sua avaliação das ferramentas internas revela que sua organização não tem duas fontes de dados e quatro componentes de dados. Este exercício de mapeamento fornece visibilidade sobre as fontes de dados, componentes e técnicas, sua relevância para a sua organização e para identificar as lacunas na cobertura. Assim, você pode concentrar seu investimento nas fontes de dados e nos sensores de alerta corretos para detectar e mitigar as ameaças do adversário.

    A estrutura MITRE-ATT&CK contém uma estrutura atualizada para as fontes de dados - Fonte de dados: Componente de dados. Este novo formulário de fonte de dados fornece um contexto extra para as fontes de dados. O objeto de fonte de dados apresenta o nome da fonte de dados, bem como os principais detalhes sobre os dados coletados (arquivo, processo, tráfego de rede e assim por diante) e valores ou propriedades específicas necessárias para detectar comportamentos do adversário.

    A ilustração a seguir mostra a representação da estrutura MITRE-ATT&CK STIX™ para fontes de dados e componentes de dados. Você pode ver as fontes de dados e os componentes de dados capturados como objetos STIX™ personalizados. A ilustração mostra que cada fonte de dados contém um ou mais componentes de dados e cada componente de dados detecta uma ou mais técnicas.

    Figura 1. Estrutura geral de fontes de dados e componentes de dados
    Esta imagem mostra a estrutura geral de fontes de dados e componentes de dados.

    Você pode continuar usando o Mapeamento de fonte de dados se o seu repositório MITRE-ATT&CK contiver as coleções TAXII antigas e você tiver mapeado suas fontes de dados para várias técnicas. No entanto, use o Mapeamento de componente de dados se você estiver usando as coleções TAXII mais recentes e quiser manter um relacionamento entre as fontes de dados, os componentes de dados e as várias técnicas.

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Administração do MITRE ATT&CK > Mapeamento de componente de dados.
      A ilustração a seguir mostra a lista de táticas, IDs e técnicas junto com as fontes de dados e os componentes de dados com base nas atualizações de coleta.A ilustração a seguir mostra a lista de táticas, técnicas, IDs junto com as fontes de dados e os componentes de dados que foram preenchidos com base nas atualizações de sua coleção.
      Campo Descrição
      Tática Objetivo do adversário ou motivo para executar uma ação.
      ID Identidade exclusiva da técnica.
      Técnica Como um adversário atinge um objetivo tático executando uma ação.
      Fonte de Dados Fonte de dados associada à técnica.
      Componente de dados Componente de dados associado à fonte de dados. Um componente de dados só pode ter uma fonte de dados primária.
      Componente de dados revogado Identifica se o componente de dados foi revogado na base de conhecimento MITRE-ATT&CK.
      Ferramenta de detecção Ferramenta que complementa a fonte de dados detectando as técnicas usadas. A ferramenta de detecção está mapeada com o sensor de alerta em SIR.
      Comentário Descrição sobre a fonte de dados e o mapeamento do componente de dados.
      Revogado Identifica se o componente de dados para mapeamento de técnica foi revogado por MITRE-ATT&CK.
    2. Revise as fontes de dados e os componentes de dados listados e modifique os valores com base no seu ambiente.
    3. Siga estas etapas para adicionar um componente de dados.
      1. Navegar até Inteligência contra ameaças > Administração do MITRE ATT&CK > Técnicas.
      2. Clique em uma técnica que você deseja modificar a fonte de dados: informações do componente de dados.
      3. Desbloquear fonte de dados: componente de dados.
      4. Use a lista de pesquisa para selecionar MITRE-ATT&CK componentes de dados.
      5. Bloqueio de fonte de dados: componente de dados.
      6. Clique em Atualizar.
      Na ilustração a seguir, você vê como adicionar componentes de dados.Esta ilustração mostra como mapear componentes de fonte de dados para uma técnica.