Defina a fonte de dados e o mapeamento da ferramenta de detecção

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Defina a fonte de dados e o mapeamento da ferramenta de detecção para MITRE-ATT&CK táticas e técnicas. O mapeamento da fonte de dados fornece informações sobre a relevância e a disponibilidade das fontes de dados e as ferramentas de detecção para monitorar as fontes de dados em seu ambiente.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: acesso de gravação e exclusão
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode identificar as fontes de dados e as ferramentas de detecção de que sua organização precisa para detectar as técnicas com eficácia.

    Por exemplo, se sua organização se concentrar em 5 técnicas, talvez você precise de 10 fontes de dados e 10 ferramentas de detecção para monitorar essas fontes. Digamos que você identifique que sua organização não tem duas fontes de dados e cinco ferramentas de detecção. Este exercício fornece visibilidade das fontes de dados, sua relevância para sua organização e para identificar lacunas na cobertura. Você também pode se concentrar em aprimorar seu ambiente com as fontes de dados e ferramentas de detecção corretas.

    Todas as táticas, técnicas, IDs e fontes de dados ativas são preenchidas automaticamente com base em TAXII perfil

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Administração do MITRE ATT&CK > Mapeamento de fonte de dados.

      A ilustração a seguir mostra a lista de táticas, técnicas e seus IDs que foram preenchidos com base nas atualizações da sua coleção.

      Mapear fontes de dados.

      Campo Descrição
      Tática Objetivo do adversário ou o motivo da execução de uma ação.
      ID Identidade exclusiva da técnica.
      Técnica Como um adversário atinge um objetivo tático executando uma ação.
      Fonte de dados Fonte de dados associada à técnica.
      Fonte de dados revogada Se definida como verdadeira, a fonte de dados será revogada, no entanto, o mapeamento da fonte de dados ainda será mantido.

      Se o valor da fonte de dados não for encontrado em MITRE, Em seguida, o valor Fonte de dados revogada é marcado automaticamente como verdadeiro. O mapeamento da fonte de dados para um registro será revogado se os relacionamentos técnica e fonte de dados estiverem ausentes no atualizado MITRE dados.

      Padrão: falso
      Fonte de dados disponível Disponibilidade da fonte de dados.
      Ferramenta de detecção Ferramenta que complementa a fonte de dados detectando as técnicas usadas. A ferramenta de detecção é mapeada com o sensor de alerta em SIR.
      Revogado O mapeamento da fonte de dados para um registro será revogado se os relacionamentos técnica e fonte de dados estiverem ausentes no atualizado MITRE dados.

      Padrão: falso
    2. Revise as fontes de dados listadas e modifique o valor em Fonte de dados disponível campo baseado em seu ambiente.
    3. Nota:
      Não é possível editar esta entrada na exibição de lista.
      Em Ferramenta de detecção , execute as seguintes etapas:
      1. Clique no ícone de informações e clique em Registro em aberto .
      2. Desbloquear Ferramenta de detecção entrada.
      3. Use a lista de pesquisa para selecionar uma ferramenta de detecção. Você pode selecionar várias ferramentas de detecção.
      4. Clique em Atualizar.

      Na ilustração a seguir, várias ferramentas de detecção são adicionadas para monitorar a fonte de dados.

      Como mapear a ferramenta de detecção.