Acumular MITRE-ATT&CKinformações usando MISPresultados de aprimoramento

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

1 min. de leitura

Acumule os resultados de aprimoramento do MISP manualmente se você não tiver habilitado o acúmulo automático de MISPinformações.

Antes de Iniciar

Função necessária: sn_si.analista

Por Que e Quando Desempenhar Esta Tarefa

Use as regras de extração automática do sistema base para importar o. MITRE-ATT&CKinformações do MISPintegração. . MISP integration for Security Operationsapresenta dois sistemas de base MITRE-ATT&CKregras de extração de técnica para MISP- MISPe. MISPmarcadores. Para obter mais informações sobre regras de extração automática em MITRE-ATT&CK, consulte Extrair automaticamente regras de técnica para importar informações DO MITRE-ATT&CK .

Se você tiver habilitado acúmulo automático de MITRE-ATT&CK informações usando MISP resultados de aprimoramento para um incidente de segurança, as informações são acumuladas automaticamente. Se você não tiver habilitado o rollup automático, poderá executar esta tarefa manualmente.

Procedimento

Navegar até Tudo > Incidentes de segurança > Mostrar todos os incidentes.
Selecione o incidente de segurança que você deseja aprimorar com MITRE-ATT&CKinformações.
Clique em Mostrar todas as listas relacionadas e o. Resultados de aprimoramento do MISP .
Selecione o observável e, no menu Ações, clique em Acumular informações DO MITRE ATT&CK para SI .
Você pode selecionar vários observáveis e, em seguida, acumular as informações.
Para confirmar as mudanças, clique em Recarregar .
O exemplo a seguir mostra como selecionar um observável e acumular o. MISPresultados de aprimoramento para o incidente de segurança.
Figura 1. Acumule informações DO MITRE em um incidente de segurança

Resultado

Você pode exibir o. MITRE-ATT&CKCartão para confirmar que os resultados de aprimoramento do MISP foram acumulados para o incidente de segurança.