Configurar a estrutura MITRE-ATT&CK

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Ative o perfil MITRE-ATT&CK e configure um trabalho programado para que você possa configurar coleções MITRE-ATT&CK para detecção de ameaças em sua organização.

    Antes de Iniciar

    Função necessária: sn_ti.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Expressão de informações de ameaça estruturada (STIX™) é uma linguagem para descrever informações de ameaça cibernética de maneira padronizada e estruturada. Usando dados do STIX e perfis de Troca automatizada confiável de informações de indicador (TAXII™), as equipes de segurança podem usar informações compartilhadas de ameaças cibernéticas para isolar ameaças que foram identificadas anteriormente pela sua empresa e de outras fontes.

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Origens > Perfis TAXII.
      Você verá os perfis TAXII disponíveis.
    2. Clique no perfil MITRE ATT&CK fornecido com o sistema de base.

      Inteligência contra ameaças: perfil MITRE ATT&CK.
    3. Para ativar a coleção TAXII, defina a opção Ativo como verdadeiro para a coleção TAXII que seja relevante para sua organização (Enterprise ATT&CK, Mobile ATT&CK ou ICS ATT&CK).
      Coleta de TAXII Descrição
      Enterprise ATT&CK Descreve os comportamentos e as ações que um adversário realiza para comprometer e operar em uma rede e nuvem corporativas.
      Nota:
      A matriz Pre ATT&CK foi descontinuada em MITRE e foi mesclada com a matriz Enterprise.
      Móvel ATT&CK Descreve os comportamentos e as ações do adversário que se concentram em dispositivos móveis.
      ICS ATT&CK Descreve as ações que um adversário realiza ao operar em uma rede de Sistemas de controle industrial (ICS).
    4. Para atualizar periodicamente a coleção, defina a opção Executar conforme apropriado para sua organização.
      Por padrão, esta opção é definida como Sob demanda.
      Nota:
      1. As coleções são empacotadas como parte do plug-in Inteligência contra ameaças Core. Instalar ou atualizar o Threat Intelligence Support Common - Versão 12.0 ou superior e o Threat Intelligence - Versão 12.0 ou superior garante que os dados das coleções sejam preenchidos automaticamente.
      2. Ative a coleção TAXII somente para a coleção que você pretende usar em sua organização e desabilite as outras coleções. Por exemplo, se você pretende usar a matriz Enterprise ATT&CK, ative o Enterprise ATT&CK no nível de coleção TAXII e no nível Matrizes. Desabilite as outras matrizes Mobile ATT&CK e ICS ATT&CK na coleção TAXII e no nível Matrizes.
      3. Nas listas relacionadas TAXII Coleções, se você selecionar a opção Executar como Diariamente, ocorrerá um erro e o padrão da opção será Sob demanda. Este erro ocorre porque a programação da atualização de dados MITRE-ATT&CK diária é restrita para otimizar a carga nos servidores MITRE. Além disso, MITRE atualiza os dados do ATT&CK apenas duas vezes por ano.
      4. As coleções TAXII não são atualizadas a menos que você ative a coleção TAXII.
      5. As atualizações das coleções existentes podem ser recuperadas do servidor MITRE programando a frequência de "execução" em cada coleção.
      6. As personalizações feitas nos dados do repositório MITRE-ATT&CK (malware, grupo, mitigação e objetos de ferramenta para uma técnica) são salvas durante as atualizações programadas.
      7. MITRE atualiza a base de conhecimento MITRE-ATT&CK em que alguns objetos são identificados como revogados ou obsoletos, novos objetos são adicionados ou objetos existentes são modificados. Se MITRE revogar qualquer tática ou técnica, esses objetos serão marcados como revogados no Now Platform. Os objetos revogados são mantidos no repositório, mas não estão disponíveis para uso no Now Platform.

    O que Fazer Depois

    Depois que a configuração do perfil TAXII é concluída, os dados do repositório MITRE-ATT&CK são importados em intervalos regulares para o Now Platform®. Você pode ver esses dados navegando até Repositório do MITRE ATT&CK > Matrizes e Repositório do MITRE ATT&CK > Técnicas.