Método de extração da técnica MITRE ATT&CK

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • O método de extração da técnica MITRE ATT&CK descreve como os métodos de extração são realizados e as técnicas associadas são verificadas.

    1. As regras de extração para fontes de dados (pesquisas de ameaça não são aplicáveis) são processadas sempre que um registro de origem de entidade (por exemplo, origem observável ou origem de objeto) é criado.
    2. As regras são aplicáveis a todos os campos no registro de origem da entidade (exceto data, campos numéricos e Categoria de uso e fases de ataque).
    3. As técnicas DO MITRE extraídas são associadas ao registro de entidade correspondente e você exibe os registros na lista relacionada Técnicas DO MITRE no Registros relacionados guia.
      Nota:
      Primeiro, as técnicas MITRE são extraídas e associadas ao registro de origem da entidade, em seguida, as associações de técnicas são desduplicadas e agregadas ao registro da entidade primária.

    Exibir técnicas MITRE

    1. Navegar até Biblioteca de informações sobre ameaçasqualquer registro de entidade (observável ou objeto) usando .
    2. Clique em Registros relacionados guia.
    3. Selecione Técnicas MITRE e exibem as técnicas associadas que são extraídas.
    4. Clique no ID da técnica MITRE para exibir e acessar o registro de associação da técnica MITRE. . Origens A coluna exibe todas as origens (também separadas por uma vírgula se houver uma ou mais origens) associadas ao registro de origem da entidade no qual a extração DO MITRE é realizada.
      Nota:
      Se os mesmos IDs de tática e técnica forem extraídos de várias fontes, somente um registro de associação de tática e técnica será exibido e o Origens a coluna exibe todas as origens extraídas.
    5. Para solução de problemas, você pode exibir a regra de extração DO MITRE, que foi responsável pela extração das associações de tática e técnica navegando até Relações de origem da técnica .
      Nota:
      Certifique-se de adicionar Regra de extração coluna usando Listar ações Caso você não veja a coluna Regra de extração.
    As regras de extração para pesquisas de ameaças são processadas sempre que o registro de resultado da pesquisa de ameaças é criado para qualquer observável para o qual Executar pesquisa de ameaças a ação é acionada e a extração é realizada somente na carga de dados brutos (campo raw_data) que está disponível no registro de resultado da pesquisa de ameaças.
    Nota:
    • Se não houver ID de tática presente na origem da entidade extraída (observável ou objeto) ou no resultado da pesquisa de ameaça para qualquer técnica MITRE ATT&CK, as associações de técnica serão criadas para todas as táticas associadas à técnica correspondente no repositório MITRE.
    • Se houver qualquer ID de tática presente na origem da entidade extraída (observável ou objeto) ou no resultado da pesquisa de ameaça para qualquer técnica MITRE ATT&CK, as associações de técnica serão criadas especificamente somente para todas as táticas extraídas associadas à técnica correspondente no repositório MITRE.