Associar MITRE-ATT&CK informações a observáveis

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Associe MITRE-ATT&CK táticas e técnicas a um observável para obter uma melhor análise de incidentes e ameaças de segurança em um nível granular.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Alguns SIEMs podem fornecer MITRE-ATT&CK informações com eventos, alertas ou observáveis. Para associar as informações MITRE-ATT&CK em um nível granular, você pode adicionar as informações a um observável.

    Você pode optar por acumular as informações MITRE-ATT&CK automaticamente dos observáveis para um incidente de segurança. Para o acúmulo automático de observáveis para incidentes de segurança, habilite a propriedade do sistema. Como alternativa, você pode acumular as informações manualmente para cada observável.

    Procedimento

    1. Navegar até Todos > Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja aprimorar com as informações de MITRE-ATT&CK.
    3. Clique em Mostrar todas as listas relacionadas e na guia Observáveis associados.
    4. Aponte para o observável que você deseja associar, clique com o botão direito do mouse e selecione Associar técnica do MITRE ATT&CK.

      Na ilustração a seguir, você pode ver como navegar na lista relacionada até Associar técnica do MITRE ATT&CK, revisar a origem e adicionar uma tática e uma técnica.

      Associe informações do MITRE ATT&CK a um observável.
    5. Nas listas de origens, revise a Origem.
      Nota:
      Somente as coleções e matrizes que foram ativadas aparecem na lista de origem.
    6. Revise a Tática e as Técnicase adicione ou remova-as com base na relevância com o observável.
    7. Clique em Salvar.
      As táticas e técnicas que você adicionou aparecem na coluna MITRE-ATT&CK Informações na lista relacionada de observáveis.
    8. Selecione o observável e, no menu Ações, clique em Acumular informações do MITRE ATT&CK no SI.
      Se você tiver habilitado acúmulo automático de MITRE-ATT&CK informações de observáveis para incidente de segurança, as informações serão acumuladas automaticamente. Se você não habilitou o acúmulo automático, será necessário fazer isso manualmente.

      A ilustração a seguir mostra como selecionar um observável e acumular as informações MITRE-ATT&CK para um incidente de segurança.

      Acumule manualmente informações do MITRE ATT&CK de observável para incidente de segurança.
    9. Para ter uma exibição agregada das técnicas associadas aos observáveis, selecione dois ou mais observáveis na lista e, no menu Ações na lista de linhas selecionadas, clique em Mostrar informações do MITRE ATT&CK.

    Resultado

    Uma exibição agregada das informações do MITRE ATT&CK para os observáveis selecionados é exibida.