Definir a fonte de dados e o mapeamento da ferramenta de detecção

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Defina a fonte de dados e o mapeamento da ferramenta de detecção para MITRE-ATT&CK táticas e técnicas. O mapeamento de fonte de dados fornece informações sobre a relevância e a disponibilidade das fontes de dados e as ferramentas de detecção para monitorar as fontes de dados em seu ambiente.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: gravação, exclusão de acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode identificar as fontes de dados e as ferramentas de detecção de que sua organização precisa para detectar as técnicas com eficácia.

    Por exemplo, se sua organização se concentra em 5 técnicas, talvez você precise de 10 fontes de dados e 10 ferramentas de detecção para monitorar essas fontes. Digamos que você identifique que sua organização não tem duas fontes de dados e cinco ferramentas de detecção. Este exercício oferece visibilidade sobre as fontes de dados, sua relevância para a organização e para identificar lacunas na cobertura. Você também pode se concentrar em aprimorar seu ambiente com as fontes de dados e as ferramentas de detecção corretas.

    Todas as táticas, técnicas, ID e fontes de dados ativas são preenchidas automaticamente com base em TAXII perfil

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Administração do MITRE ATT&CK > Mapeamento de fonte de dados.

      A ilustração a seguir mostra a lista de táticas, técnicas e seus IDs que foram preenchidos com base nas atualizações de sua coleção.

      Mapear fontes de dados.

      Campo Descrição
      Tática Objetivo do adversário ou motivo para executar uma ação.
      ID Identidade exclusiva da técnica.
      Técnica Como um adversário atinge um objetivo tático executando uma ação.
      Fonte de Dados Fonte de dados associada à técnica.
      Fonte de dados revogada A fonte de dados será revogada se definida como verdadeira, mas o mapeamento da fonte de dados ainda será retido.

      Se o valor da fonte de dados não for encontrado em MITRE, o valor de Fonte de dados revogada será marcado automaticamente como verdadeiro. O mapeamento de fonte de dados para um registro será revogado se a técnica e os relacionamentos de fonte de dados estiverem ausentes nos dados atualizados MITRE.

      Padrão: falso
      Fonte de dados disponível Disponibilidade da fonte de dados.
      Ferramenta de detecção Ferramenta que complementa a fonte de dados detectando as técnicas usadas. A ferramenta de detecção está mapeada com o sensor de alerta em SIR.
      Revogado O mapeamento de fonte de dados para um registro será revogado se a técnica e os relacionamentos de fonte de dados estiverem ausentes nos dados atualizados MITRE.

      Padrão: falso
    2. Revise as fontes de dados listadas e modifique o valor no campo Fonte de dados disponível com base no seu ambiente.
    3. Nota:
      Você não pode editar esta entrada na exibição de lista.
      No campo Ferramenta de detecção, siga estas etapas:
      1. Clique no ícone de informações e clique em Abrir registro.
      2. Desbloqueie a entrada da Ferramenta de detecção.
      3. Use a lista de pesquisa para selecionar uma ferramenta de detecção. Você pode selecionar várias ferramentas de detecção.
      4. Clique em Atualizar.

      Na ilustração a seguir, várias ferramentas de detecção são adicionadas para monitorar a fonte de dados.

      Como mapear a ferramenta de detecção.