MITRE-ATT&CK フレームワークを設定する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:3分

    • MITRE-ATT&CK プロファイルをアクティブ化し、組織内で脅威検出の MITRE-ATT&CK コレクションを設定できるように、スケジュール済みジョブを設定します。

    始める前に

    必要なロール:sn_ti.admin

    このタスクについて

    脅威情報構造化記述形式 (Structured Threat Information eXpression) (STIX™) とは、サイバー脅威情報を標準化および構造化された方法で記述するための言語です。STIX データと検知指標情報自動交換手順 (Trusted Automated Exchange of Indicator InformationTrusted) (TAXII™) のプロファイルを使用することで、セキュリティチームは共有されたサイバー脅威情報を使用して、自社や他のソースから前に確認された脅威を分離することができます。

    手順

    1. 次のように移動する。 All (すべて) > 脅威インテリジェンス > ソース > TAXII プロファイル.
      利用可能な TAXII プロファイルが表示されます。
    2. ベースシステムに提供されている [MITRE ATT&CK] プロファイルをクリックします。

      脅威インテリジェンス:[MITRE ATT&CK] プロファイル
    3. TAXII コレクションをアクティブ化するには、組織に関連する TAXII コレクション (エンタープライズ ATT&CK、モバイル ATT&CK、または ICS ATT&CK) の [アクティブ] オプションを true に設定します。
      TAXII 収集 説明
      エンタープライズ ATT&CK 攻撃者が企業ネットワークやクラウドを侵害し操作するために取る行動や行為を説明します。
      注:
      Pre ATT&CK マトリクスは MITRE によって廃止され、Enterprise マトリクスに統合されました。
      モバイル ATT&CK モバイルデバイスに焦点を当てた攻撃者の行動や行為を説明します。
      ICS ATT&CK 産業用コントールシステム (ICS) のネットワーク内で攻撃者が行うアクションを説明します。
    4. このコレクションを定期的に更新するには、組織に応じて適切な [実行] オプションを設定します。
      デフォルトでは、このオプションは [オンデマンド] に設定されています。
      注:
      1. コレクションは 脅威インテリジェンス Core プラグインの一部としてパッケージ化されています。脅威インテリジェンス Support Common - バージョン 12.0 以降、および 脅威インテリジェンス - バージョン 12.0 以降をインストールまたは更新すると、コレクションデータが自動入力されます。
      2. TAXII コレクションは、組織で使用する予定のコレクションのみをアクティブ化し、他のコレクションは無効にします。たとえば、エンタープライズ ATT&CK マトリクスを使用する予定であれば、TAXII コレクションレベルおよびマトリクスレベルでエンタープライズ ATT&CK をアクティブ化します。TAXII コレクションおよびマトリクスレベルで、他のモバイル ATT&CK マトリクスと ICS ATT&CK マトリクスを無効にします。
      3. TAXII コレクションの関連リストでは、[実行] オプションで [毎日 (Daily)] を選択すると、エラーが発生し、オプションはデフォルトで [オンデマンド] になります。このエラーは、MITRE サーバーの負荷を最適化するために、MITRE-ATT&CK データの更新を毎日行うことが制限されているために発生します。また、MITRE は ATT&CK のデータを年に 2 回のみ更新します。
      4. TAXII コレクションは、TAXII コレクションをアクティブ化しない限り更新されません。
      5. 既存のコレクションの更新は、各コレクションの「実行」頻度をスケジュール設定することで、MITRE サーバーから取得できます。
      6. MITRE-ATT&CK リポジトリのデータ (テクニックに対するマルウェア、グループ、緩和、およびツールオブジェクト) に対して行ったカスタマイズは、スケジュール設定済みの更新時に保存されます。
      7. MITREMITRE-ATT&CK ナレッジベースを更新し、一部のオブジェクトが取り消しまたは使用廃止とされ、新しいオブジェクトが追加され、既存のオブジェクトが変更されます。MITRE が戦術やテクニックを取り消す場合、これらのオブジェクトは Now Platform で取り消し済みとしてマークされます。取り消されたオブジェクトはリポジトリに保持されますが、Now Platform では使用できません。

    次のタスク

    TAXII プロファイルのセットアップが完了すると、MITRE-ATT&CK リポジトリのデータが定期的に Now Platform® にインポートされます。このデータを表示するには、次に移動します: MITRE ATT&CK リポジトリ > マトリクス AND MITRE ATT&CK リポジトリ > テクニック.