Definir a fonte de dados e o mapeamento do componente de dados
Use o Mapeamento de componente de dados se estiver usando as coleções TAXII mais recentes e quiser manter um relacionamento entre as fontes de dados, os componentes de dados e as várias técnicas. Mapeie as fontes de dados com o contexto adicional de componentes de dados que fornece uma subcamada extra de contexto para fontes de dados que permitem que você entenda melhor os comportamentos adversários em MITRE-ATT&CK.
Antes de Iniciar
- sn_ti.admin, sn_si.admin: acesso de gravação, exclusão
- sn_ti.read: acesso de leitura
Por Que e Quando Desempenhar Esta Tarefa
O mapeamento das fontes de dados e dos componentes de dados fornece visibilidade sobre as fontes de dados ou componentes e as técnicas que são relevantes para sua organização.
Por exemplo, se sua organização se concentrar em 7 técnicas, talvez você precise de 5 fontes de dados e 10 componentes de dados para monitorar essas origens. Sua avaliação das ferramentas internas revela que sua organização não tem duas fontes de dados e quatro componentes de dados. Este exercício de mapeamento fornece visibilidade sobre as fontes de dados, componentes e técnicas, sua relevância para a sua organização e para identificar as lacunas na cobertura. Assim, você pode concentrar seu investimento nas fontes de dados e sensores de alerta corretos para detectar e mitigar ameaças adversas.
A estrutura MITRE-ATT&CK contém uma estrutura atualizada para as fontes de dados - Fonte de dados: Componente de dados. Esta nova forma de fonte de dados fornece um contexto extra para as fontes de dados. O objeto de fonte de dados apresenta o nome da fonte de dados, bem como detalhes importantes sobre os dados coletados (arquivo, processo, tráfego de rede e assim por diante) e valores ou propriedades específicas necessárias para detectar comportamentos adversários.
A ilustração a seguir mostra a representação da estrutura MITRE-ATT&CK STIX™ para fontes de dados e componentes de dados. Você pode ver as fontes de dados e os componentes de dados capturados como objetos STIX™ personalizados. A ilustração mostra que cada fonte de dados contém um ou mais componentes de dados e cada componente de dados detecta uma ou mais técnicas.
Você pode continuar usando o Mapeamento de fonte de dados se o seu repositório MITRE-ATT&CK contiver as coleções TAXII antigas e você tiver mapeado suas fontes de dados para várias técnicas. No entanto, use o Mapeamento de componente de dados se estiver usando as coleções TAXII mais recentes e quiser manter um relacionamento entre as fontes de dados, os componentes de dados e as várias técnicas.
Procedimento
-
Navegar até .
A ilustração a seguir mostra a lista de táticas, IDs e técnicas junto com as fontes de dados e componentes de dados com base nas atualizações de coleta.
Campo Descrição Tática Objetivo do adversário ou o motivo para executar uma ação. ID Identidade exclusiva da técnica. Técnica Como um adversário atinge um objetivo tático executando uma ação. Fonte de dados Fonte de dados associada à técnica. Componente de dados Componente de dados associado à fonte de dados. Um componente de dados só pode ter uma fonte de dados primária. Componente de dados revogado Identifica se o componente de dados foi revogado na base de conhecimento MITRE-ATT&CK. Ferramenta de detecção Ferramenta que complementa a fonte de dados detectando as técnicas usadas. A ferramenta de detecção é mapeada com o sensor de alerta em SIR. Comentário Descrição sobre a fonte de dados e o mapeamento do componente de dados. Revogado Identifica se o componente de dados para mapeamento de técnica foi revogado por MITRE-ATT&CK. -
Siga estas etapas para adicionar um componente de dados.
- Navegar até .
- Clique em uma técnica que você deseja modificar a fonte de dados: informações do componente de dados.
- Desbloquear fonte de dados: componente de dados.
- Use a lista de pesquisa para selecionar MITRE-ATT&CK componentes de dados.
- Bloquear fonte de dados: componente de dados.
- Clique em Atualizar.
Na ilustração a seguir, você vê como adicionar componentes de dados.