Configurar a estrutura MITRE-ATT&CK

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

2 min. de leitura

Ative o perfil MITRE-ATT&CK e configure um trabalho agendado para que você possa configurar coleções MITRE-ATT&CK para detecção de ameaças em sua organização.

Antes de Iniciar

Função necessária: sn_ti.admin

Por Que e Quando Desempenhar Esta Tarefa

A Expressão de Informações de Ameaças Estruturadas (STIX™) é uma linguagem para descrever informações de ameaças cibernéticas de maneira padronizada e estruturada. Usando dados STIX e perfis de Troca automatizada confiável de informações do indicador (TAXII™), as equipes de segurança podem usar informações compartilhadas de ameaças cibernéticas para isolar ameaças que foram identificadas anteriormente por sua empresa e de outras origens.

Procedimento

Navegar até Todos > Inteligência contra ameaças > Origens > Perfis TAXII.
Você verá os perfis TAXII disponíveis.
Clique no perfil do MITRE ATT&CK fornecido com o sistema de base.

Para ativar a coleção TAXII, defina a opção Ativo como verdadeira para a coleção TAXII que é relevante para sua organização (Enterprise ATT&CK, Mobile ATT&CK ou ICS ATT&CK).


Coleta TAXII	Descrição
Enterprise ATT&CK	Descreve os comportamentos e ações que um adversário realiza para comprometer e operar em uma rede e nuvem corporativas. Nota: A matriz Pre ATT&CK foi descontinuada por MITRE e foi mesclada com a matriz Enterprise.
ATT&CK móvel	Descreve os comportamentos e ações adversários que se concentram em dispositivos móveis.
ICS ATT&CK	Descreve as ações que um adversário realiza enquanto opera em uma rede de Sistemas de controle industrial (ICS).

Para atualizar periodicamente a coleção, defina a opção Executar conforme apropriado para sua organização.
Por padrão, essa opção é definida como Sob demanda.
Nota:
1. As coleções são empacotadas como parte do plug-in Inteligência contra ameaças Core. Instalar ou atualizar o Threat Intelligence Support Common - Versão 12.0 ou superior e Threat Intelligence - Versão 12.0 ou superior garante que os dados de coleta sejam preenchidos automaticamente.
2. Ative a coleção TAXII somente para a coleção que você pretende usar em sua organização e desabilite as outras coleções. Por exemplo, se você pretende usar a matriz Enterprise ATT&CK, ative o Enterprise ATT&CK no nível de coleção TAXII e no nível de matrizes. Desabilite as outras matrizes Mobile ATT&CK e ICS ATT&CK na coleção TAXII e no nível Matrizes.
3. Nas listas relacionadas TAXII Coleções, se você selecionar a opção Executar como Diariamente, ocorrerá um erro e o padrão da opção será Sob demanda. Este erro ocorre porque a programação da atualização de dados MITRE-ATT&CK diária é restrita para otimizar a carga nos servidores MITRE. Além disso, MITRE atualiza os dados do ATT&CK apenas duas vezes por ano.
4. As coleções TAXII não são atualizadas a menos que você ative a coleção TAXII.
5. As atualizações das coleções existentes podem ser recuperadas do servidor MITRE, programando a frequência de "execução" em cada coleção.
6. As personalizações que você faz nos dados do repositório MITRE-ATT&CK (Malware, Grupo, Mitigação e Objetos de ferramenta para uma técnica) são salvas durante as atualizações programadas.
7. MITRE atualiza a MITRE-ATT&CK base de conhecimento em que alguns objetos são identificados como revogados ou descontinuados, novos objetos são adicionados ou objetos existentes são modificados. Se MITRE revogar qualquer tática ou técnica, esses objetos serão marcados como revogados no Now Platform. Os objetos revogados são mantidos no repositório, mas não estão disponíveis para uso no Now Platform.

O que Fazer Depois

Depois que a configuração do perfil TAXII é concluída, os dados do repositório MITRE-ATT&CK são importados em intervalos regulares para o Now Platform®. Você pode ver esses dados navegando até Repositório do MITRE ATT&CK > Matrizes e Repositório do MITRE ATT&CK > Técnicas.