Gerenciar técnicas

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Gerencie as técnicas que foram importadas das coleções MITRE TAXII. As técnicas contêm várias maneiras que os invasores desenvolveram para empregar uma determinada tática. Você pode revisar e desativar técnicas que não são relevantes para sua organização. Em STIX, as técnicas são conhecidas como padrões de ataque.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin: excluir acesso
    • sn_si.admin: criar, gravar, excluir acesso
    • sn_ti.read: acesso de leitura
    • sn_ti.write: criar, acesso de gravação

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Repositório do MITRE ATT&CK > Técnicas.
      Exiba a lista de técnicas e subtécnicas.
      A lista de técnicas e subtécnicas agora está listada.
    2. Para revisar e desativar técnicas que não são relevantes para sua organização, vá para a exibição de lista da técnica selecionada e, na coluna Ativa, atualize a configuração para falsoe salve a configuração.
      Desative as técnicas que não são usadas por outros objetos no repositório MITRE-ATT&CK.
    3. Para priorizar uma técnica, atribua uma prioridade no campo Prioridade relevante (personalizada).
      A prioridade relevante do sistema de base está definida como nenhuma. O campo Prioridade relevante (personalizado) não é importado das coleções MITRE-ATT&CK TAXII, mas um campo personalizado introduzido no Now Platform. Você pode usar as informações de prioridade relevantes para filtrar e priorizar técnicas nos painéis, durante o mapeamento da fonte de dados ou ao analisar o mapa térmico.
    4. Clique em uma técnica para exibir todas as informações associadas a ela.

      Na ilustração a seguir, você pode exibir os detalhes de cada técnica de remoção de acesso à conta, seu ID, origem e outras informações relacionadas.

      Exiba a técnica de padrão de ataque e suas informações relacionadas.
      Nota:
      O elemento Fonte de dados: componente de dados introduzido por MITRE substitui o campo Fonte de dados anterior. O componente de dados fornece uma subcamada extra de contexto para as fontes de dados. Se o seu repositório MITRE-ATT&CK contiver as coleções TAXII antigas, você poderá exibir o campo Fonte de dados. Caso contrário, você pode exibir as fontes de dados com o contexto adicional de componentes de dados no campo Fonte de dados: componente de dados. Você pode exibir o novo campo de componente de dados somente quando a origem é Enterprise ATT&CK. Para obter mais informações, consulte mapeamento de componente de dados.
    5. Para exibir como esses objetos estão relacionados, clique em Mostrar relacionamentos.

    O que Fazer Depois

    Você pode estender as informações em alguns desses objetos de lista relacionados. Por exemplo, você pode adicionar novas informações para Grupo, Mitigação e Referências externas.