Étendre les MITRE-ATT&CK données
Étendre les données du MITRE-ATT&CK référentiel en Now Platform les enrichissant.
Avant de commencer
- sn_ti.admin : supprimer l’accès
- sn_ti.read : accès en lecture
- sn_ti.write : créer, accès en écriture
Pourquoi et quand exécuter cette tâche
Vous pouvez étendre les objets Malware, Group, Mitigation et Tool à une technique du MITRE-ATT&CK référentiel.
Vous pouvez créer un nouvel objet et établir une relation entre une technique et le nouvel objet dans le module Référentiel MITRE ATT&CK, mais vous ne pouvez pas définir le type de relation dans ce module. Pour plus d’informations sur la définition des types de relation, consultez Relations objet à objet. Pour définir un type de relation, accédez au module.
Si vous mappez le type de relation entre une technique existante et un objet existant, vous devez définir la technique comme objet cible et l’objet comme objet source. Pour ce faire, accédez au module.
Vous pouvez créer un groupe et l’associer à un modèle d’attaque, mais dans le référentiel MITRE ATT&CK, vous ne pouvez établir que la relation entre le groupe et le modèle d’attaque. Pour définir le type de relation objet-objet, vous devez le faire dans le référentiel IoC.
Procédure
-
Cliquez sur une technique ou une sous-technique pour afficher toutes les informations associées à cette technique.
Dans l’illustration suivante, vous pouvez voir que la technique du botnet (T1584.005) n’est associée à aucun groupe. Si vous disposez d’informations supplémentaires sur une technique ou une sous-technique, vous pouvez les enrichir en les ajoutant ou en les modifiant.
-
Cliquez sur une liste connexe pour enrichir ses données afin de l’associer à un nouveau groupe.
Dans l’illustration suivante, un groupe, Custom1, a été associé à la sous-technique Botnet.