Associar MITRE-ATT&CK informações com incidentes de segurança

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Associe o. MITRE-ATT&CK táticas e técnicas para o incidente de segurança para melhor análise de incidentes de segurança e ameaças.

    Antes de Iniciar

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Adicione MITRE-ATT&CK informações de táticas e técnicas ao incidente de segurança para que você possa correlacionar suas informações de incidente de segurança e ameaça para uma melhor análise. Por exemplo, sua organização pode estar recebendo informações relacionadas a táticas, técnicas e procedimentos (TTP) de suas fontes de terceiros, como Inteligência contra ameaças relatórios ou outras fontes fora do Resposta a incidentes de segurança. Em seguida, adicione essas informações de volta a SIR para melhor correlação e análise de ameaças.

    Você pode optar por acumular o. MITRE-ATT&CK informações automaticamente dos resultados de extração automática da pesquisa de ameaças, de observáveis ou de um incidente de segurança secundário para um incidente de segurança. Para acúmulo automático de incidentes de segurança, habilite a propriedade do sistema . Como alternativa, você pode acumular as informações manualmente para cada pesquisa de ameaça individual ou observável .

    Procedimento

    1. Navegar até Tudo > Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja enriquecer com MITRE-ATT&CK informações.
    3. Clique em Associar técnica MITRE ATT&CK link relacionado.
      O painel Associar técnica MITRE ATT&CK é exibido.

      Esta ilustração mostra como navegar até a lista relacionada e procurar Associar MITRE-ATT&CK Revise o Enterprise ATT&CK de origem, adicione um impacto de tática e adicione uma técnica Desligamento/reinicialização do sistema.

    4. Selecione Origem .
      Nota:
      . coleções e. matrizes que foram ativados aparecem na lista de origens.
      As táticas e técnicas associadas à origem estão disponíveis para seleção. Você também pode associar várias origens.
    5. Selecione Tática e. Técnicas .
    6. Opcional: Revise as informações com base na relevância com o incidente de segurança e faça o seguinte:
      • Para remover completamente a associação, clique no ícone de lixeira. Clicar neste ícone exclui a origem e suas táticas e técnicas associadas.
      • Para remover uma tática, clique no ícone de menos ao lado da tática.
      • Para remover uma técnica, clique no ícone x ao lado da técnica.
    7. Clique em Salvar.

    Resultado

    . MITRE-ATT&CK as informações estão associadas ao incidente de segurança. Agora você pode exibir as informações associadas em MITRE ATT&CK .

    Associar MITRE-ATT&CK informações com incidentes de segurança encerrados

    Agora você pode associar MITRE-ATT&CK táticas e técnicas para os incidentes de segurança encerrados para melhor análise de incidentes de segurança e ameaças.

    Usando o. MITRE-ATT&CK Cartão para ver informações relacionadas em um incidente de segurança

    Você pode usar MITRE-ATT&CK para ver MITRE-ATT&CK informações relacionadas em um incidente de segurança.

    Depois que as informações são acumuladas de uma pesquisa de ameaça, um observável ou uma integração DE SIEM, elas são adicionadas ao incidente de segurança. Em seguida, as informações agregadas são apresentadas em MITRE-ATT&CK Cartão. . MITRE ATT&CK fornece duas exibições:

    • Exibição do navegador: Esta exibição, que é semelhante a MITRE-ATT&CK navegador, mostra todas as técnicas que foram adicionadas manualmente ou acumuladas das tabelas observáveis ou de pesquisa de ameaças. Mostrar origem das técnicas Exibe a origem da técnica se ela tiver sido acumulada manualmente ou por meio de uma Origem. Mostrar ID Exibe o ID da técnica.

      A ilustração a seguir mostra como navegar até MITRE ATT&CK exibição do navegador. Ao clicar em qualquer um dos links disponíveis, as informações são abertas no Inteligência contra ameaças módulo.

    • Exibição de lista: Esta exibição mostra os dados em um formato de lista ou tabela. Você pode ver todos os dados distribuídos em diferentes tabelas e grupos nesta exibição.

      A ilustração a seguir mostra como navegar até a exibição de lista do MITRE ATT&CK Card. Ao clicar em qualquer um dos links disponíveis, as informações são abertas no Inteligência contra ameaças módulo.