Acumular MITRE-ATT&CK informações usando MISP resultados de enriquecimento
Acumule os resultados de aprimoramento do MISP manualmente se você não tiver habilitado o acúmulo automático de MISP informações.
Antes de Iniciar
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Use as regras de extração automática do sistema de base para importar as informações MITRE-ATT&CK da integração MISP. O MISP integration for Security Operations apresenta duas regras de extração da técnica do sistema base MITRE-ATT&CK para galáxias MISP - MISP e marcadores MISP. Para obter mais informações sobre regras de extração automática em MITRE-ATT&CK, consulte regras de técnica de extração automática para importar informações do MITRE-ATT&CK.
Se você tiver habilitado acúmulo automático de MITRE-ATT&CK informações usando MISP resultados de aprimoramento a um incidente de segurança, as informações são acumuladas automaticamente. Se você não habilitou o acúmulo automático, poderá fazer essa tarefa manualmente.
Procedimento
-
Para confirmar as mudanças, clique em Recarregar.
O exemplo a seguir mostra como selecionar um observável e acumular os resultados de enriquecimento MISP para o incidente de segurança.
Figura 1. Acumular informações de MITRE em um incidente de segurança
Resultado
Você pode exibir o cartão MITRE-ATT&CK para confirmar que os resultados de aprimoramento do MISP foram acumulados para o incidente de segurança.