Defina a fonte de dados e o mapeamento do componente de dados
Use o Mapeamento de componente de dados se estiver usando o mais recente TAXII e você deseja manter um relacionamento entre as fontes de dados, os componentes de dados e as várias técnicas. Mapeie as fontes de dados com o contexto adicional de componentes de dados que fornece uma subcamada extra de contexto para fontes de dados que permitem entender os comportamentos do adversário em MITRE-ATT&CK melhor.
Antes de Iniciar
- sn_ti.admin, sn_si.admin: acesso de gravação e exclusão
- sn_ti.read: acesso de leitura
Por Que e Quando Desempenhar Esta Tarefa
Mapear as fontes de dados e os componentes de dados fornece visibilidade sobre as fontes de dados ou componentes e as técnicas relevantes para sua organização.
Por exemplo, se sua organização se concentrar em 7 técnicas, talvez você precise de 5 fontes de dados e 10 componentes de dados para monitorar essas fontes. Sua avaliação de ferramentas internas revela que sua organização não tem duas fontes de dados e quatro componentes de dados. Este exercício de mapeamento fornece visibilidade das fontes de dados, componentes e técnicas, sua relevância para sua organização e para identificar as lacunas na cobertura. Assim, você pode concentrar seu investimento nas fontes de dados corretas e nos sensores de alerta para detectar e mitigar as ameaças adversárias.
. MITRE-ATT&CK A estrutura contém uma estrutura atualizada para as fontes de dados - Fonte de dados: Componente de dados. Este novo formulário de fonte de dados fornece um contexto extra para as fontes de dados. O objeto da fonte de dados apresenta o nome da fonte de dados, bem como os principais detalhes sobre os dados coletados (arquivo, processo, tráfego de rede e assim por diante) e valores ou propriedades específicos necessários para detectar comportamentos adversários.
A ilustração a seguir mostra o. MITRE-ATT&CK STIX™ representação de estrutura para fontes de dados e componentes de dados. Você pode ver as fontes de dados e os componentes de dados capturados como personalizados STIX™ objetos. A ilustração mostra que cada fonte de dados contém um ou mais componentes de dados e cada componente de dados detecta uma ou mais técnicas.
Você pode continuar usando Mapeamento da fonte de dados . MITRE-ATT&CK o repositório contém o antigo TAXII e você mapeou suas fontes de dados para várias técnicas. No entanto, use Mapeamento de componente de dados se você estiver usando o mais recente TAXII e você deseja manter um relacionamento entre as fontes de dados, os componentes de dados e as várias técnicas.
Procedimento
-
Navegar até .
A ilustração a seguir mostra a lista de táticas, IDs e técnicas junto com as fontes de dados e os componentes de dados com base nas atualizações de sua coleção.
Campo Descrição Tática Objetivo do adversário ou o motivo da execução de uma ação. ID Identidade exclusiva da técnica. Técnica Como um adversário atinge um objetivo tático executando uma ação. Fonte de dados Fonte de dados associada à técnica. Componente de dados Componente de dados associado à fonte de dados. Um componente de dados só pode ter uma fonte de dados primária. Componente de dados revogado Identifica se o componente de dados foi revogado no MITRE-ATT&CKbase de conhecimento. Ferramenta de detecção Ferramenta que complementa a fonte de dados detectando as técnicas usadas. A ferramenta de detecção é mapeada com o sensor de alerta em SIR. Comentário Descrição sobre o mapeamento da fonte de dados e do componente de dados. Revogado Identifica se o componente de dados para mapeamento de técnica foi revogado por MITRE-ATT&CK. -
Siga estas etapas para adicionar um componente de dados.
- Navegar até .
- Clique em uma técnica que você deseja modificar a fonte de dados: Informações do componente de dados.
- Desbloquear fonte de dados: Componente de dados.
- Use a lista de pesquisa para selecionar MITRE-ATT&CK componentes de dados.
- Bloquear fonte de dados: Componente de dados.
- Clique em Atualizar.
Na ilustração a seguir, você verá como adicionar componentes de dados.