Gérer les techniques

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Gérez les techniques importées des MITRE TAXII collections. Les techniques contiennent différentes façons dont les attaquants se sont développés pour utiliser une tactique donnée. Vous pouvez examiner et désactiver les techniques qui ne sont pas pertinentes pour votre organisation. En STIX, les techniques sont connues sous le nom de schémas d’attaque.

    Avant de commencer

    Rôle requis :
    • sn_ti.admin : supprimer l’accès
    • sn_si.admin : créer, écrire, supprimer l’accès
    • sn_ti.read : accès en lecture
    • sn_ti.write : créer, accès en écriture

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Référentiel MITRE ATT&CK > Techniques.
      Consultez la liste des techniques et sous-techniques.
      La liste des techniques et sous-techniques est maintenant répertoriée.
    2. Pour examiner et désactiver des techniques qui ne sont pas pertinentes pour votre organisation, accédez à la vue de liste correspondant à la technique sélectionnée et, dans la colonne Actif, mettez à jour le paramètre sur faux et enregistrez le paramètre.
      Désactivez les techniques qui ne sont pas utilisées par les autres objets du MITRE-ATT&CK référentiel.
    3. Pour classer une technique par ordre de priorité, affectez-lui une priorité dans le champ Priorité pertinente (personnalisée).
      La priorité pertinente pour le système de base est définie sur aucune. Le champ Priorité pertinente (personnalisé) n’est MITRE-ATT&CK TAXII pas importé à partir des collections, mais un champ personnalisé introduit dans le Now Platform. Vous pouvez utiliser les informations de priorité pertinentes pour filtrer et classer par ordre de priorité les techniques dans les tableaux de bord, pendant le mappage de la source de données ou lors de l’analyse de la carte thermique.
    4. Cliquez sur une technique pour afficher toutes les informations associées à cette technique.

      Dans l’illustration suivante, vous pouvez afficher les détails de chaque technique de suppression d’accès au compte, son ID, sa source et d’autres informations connexes.

      Affichez la technique de modèle d’attaque et les informations connexes.
      Remarque :
      L’élément Source de données : composant de données introduit par MITRE remplace le champ Source de données précédent. Le composant de données fournit une sous-couche supplémentaire de contexte aux sources de données. Si votre MITRE-ATT&CK référentiel contient les anciennes TAXII collections, vous pouvez afficher le champ Source de données. Dans le cas contraire, vous pouvez afficher les sources de données avec le contexte supplémentaire des composants de données dans le champ Source de données : composant de données. Vous pouvez afficher le nouveau champ de composant de données uniquement lorsque la source est Enterprise ATT&CK. Pour plus d’informations, consultez mappage des composants de données.
    5. Pour voir comment ces objets sont liés, cliquez sur Afficher les relations.

    Que faire ensuite

    Vous pouvez étendre les informations dans certains de ces objets de liste connexes. Par exemple, vous pouvez ajouter de nouvelles informations pour le groupe, l’atténuation et les références externes.