MITRE-ATT&CK 固有のフィルターを使用したリンク分析と脅威ハンティング

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:1分

    • 組織が脅威ハンティングを開始できるように、観測事象、セキュリティインシデント、および MITRE-ATT&CK 関連情報を関連付けてリンク分析を実行します。

    始める前に

    必要なロール:sn_ti.mitre_analyst、sn_si.read

    このタスクについて

    セキュリティインシデントを MITRE-ATT&CK 情報に関連付けると、MITRE-ATT&CK 固有のフィルターを脅威ハンティングに使用できます。MITRE-ATT&CK フィルターを既存の セキュリティインシデントレスポンス フィルターとともに使用して、リンク分析を関連付けます。

    手順

    1. 次のように移動する。 All (すべて) > セキュリティインシデント > すべてのインシデントを表示.
    2. [カスタマイズリストの更新] をクリックして、MITRE 列を追加します。
    3. MITRE 関連情報とセキュリティインシデントまたは観測事象との関連付けを表示できるように、フィルター条件を選択します。
      • MITRE-ATT&CK 攻撃者グループ
      • MITRE-ATT&CK データソース
      • MITRE-ATT&CK 手順 (マルウェア)
      • MITRE-ATT&CK 手順 (ツール)
      • MITRE-ATT&CK 戦術
      • MITRE-ATT&CK テクニック
    4. 上記の基準に基づいてフィルター条件を作成し、[実行] をクリックして、セキュリティインシデント、観測事象、および MITRE-ATT&CK 関連情報間のリンク分析または相関を実行します。
      注:
      MITRE-ATT&CK データは文字列として格納され、フィルター条件の演算子としては [含む] のみを使用できます。

      たとえば、構成アイテム (CI) が侵害されていることを確認する場合は、CI を選択します。次に、MITRE-ATT&CK テクニック ID を追加して、CI を存在するテクニックと関連付けます。その後、フィルター基準のビルドを続行して、情報を関連付け、脅威ハンティングを行うことができます。

      脅威分析のための MITRE フィルター条件