Associar MITRE-ATT&CK informações a incidentes de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Associe as MITRE-ATT&CK táticas e técnicas ao incidente de segurança para obter uma melhor análise de incidentes e ameaças de segurança.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Adicione as MITRE-ATT&CK informações de táticas e técnicas ao incidente de segurança para que você possa correlacionar suas informações de incidente de segurança e ameaça para uma análise melhor. Por exemplo, sua organização pode estar recebendo informações relacionadas a táticas, técnicas e procedimentos (TTP) de fontes de terceiros, como Inteligência contra ameaças relatórios ou outras fontes fora de Resposta a incidentes de segurança. Em seguida, você adiciona essas informações novamente a SIR para obter melhor correlação e análise de ameaças.

    Você pode optar por acumular as informações MITRE-ATT&CK automaticamente dos resultados da extração automática de pesquisa de ameaças, de observáveis ou de um incidente de segurança secundário para um incidente de segurança. Para acúmulo automático de incidentes de segurança, habilite a propriedade do sistema. Como alternativa, você pode acumular as informações manualmente para cada pesquisa de ameaça individual ou observável.

    Procedimento

    1. Navegar até Tudo > Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja aprimorar com as informações de MITRE-ATT&CK.
    3. Clique no link relacionado Associar técnica do MITRE ATT&CK.
      O painel Associar técnica do MITRE ATT&CK é exibido.

      Esta ilustração mostra como navegar até a lista relacionada e procurar Associar MITRE-ATT&CK Técnica, revisar o Enterprise ATT&CK de origem, adicionar um Impacto de tática e adicionar uma técnica Desligamento/reinicialização do sistema.

    4. Selecione Origem.
      Nota:
      Somente as coleções e matrizes que foram ativadas aparecem na lista de origem.
      As táticas e técnicas associadas à origem estão disponíveis para seleção. Você também pode associar várias origens.
    5. Selecione a Tática e as Técnicas.
    6. Opcional: Revise as informações com base na relevância com o incidente de segurança e faça o seguinte:
      • Para remover completamente a associação, clique no ícone da lixeira. Clicar neste ícone exclui a origem e suas táticas e técnicas associadas.
      • Para remover uma tática, clique no ícone de menos ao lado da tática.
      • Para remover uma técnica, clique no ícone x ao lado da técnica.
    7. Clique em Salvar.

    Resultado

    As informações MITRE-ATT&CK estão associadas ao incidente de segurança. Agora você pode exibir as informações associadas no cartão MITRE ATT&CK.

    Associar MITRE-ATT&CK informações a incidentes de segurança encerrados

    Agora você pode associar MITRE-ATT&CK táticas e técnicas aos incidentes de segurança encerrados para obter uma melhor análise de ameaças e incidentes de segurança.

    Usando o cartão MITRE-ATT&CK para ver informações relacionadas em um incidente de segurança

    Você pode usar o cartão MITRE-ATT&CK para ver as informações relacionadas MITRE-ATT&CK a em um incidente de segurança.

    Depois que as informações são acumuladas de uma pesquisa de ameaças, um observável ou uma integração de SIEM, elas são adicionadas ao incidente de segurança. Em seguida, as informações agregadas são apresentadas no cartão MITRE-ATT&CK. O cartão MITRE ATT&CK fornece duas exibições:

    • Exibição do navegador: esta exibição, que é semelhante ao navegador MITRE-ATT&CK, mostra todas as técnicas que foram adicionadas manualmente ou acumuladas das tabelas de pesquisa de observáveis ou ameaças. Mostrar origem das técnicas exibe a origem da técnica se ela tiver sido acumulada manualmente ou por meio de uma Origem. Mostrar ID exibe o ID da técnica.

      A ilustração a seguir mostra como navegar até a exibição do navegador de cartões do MITRE ATT&CK. Ao clicar em qualquer um dos links disponíveis, as informações são abertas no módulo Inteligência contra ameaças.

    • Exibição de lista: esta exibição mostra os dados em um formato de lista ou tabela. Você pode ver todos os dados distribuídos em diferentes tabelas e grupos nesta exibição.

      A ilustração a seguir mostra como navegar até a exibição de lista de cartões do MITRE ATT&CK. Ao clicar em qualquer um dos links disponíveis, as informações são abertas no módulo Inteligência contra ameaças.