MITRE - STIX データモデルの概要
Now Platform の MITRE-ATT&CK™フレームワークを効率的に使用して理解するには、MITRE および STIX で使用されている用語を確認してください。
MITRE オブジェクトから STIX へのマッピング
STIX は、標準化および構造化された方法でサイバー脅威情報を記述するための言語です。脅威インテリジェンス モジュールの親データモデルは STIX オブジェクトです。MITRE オブジェクトは親 STIX データモデルのサブセットです。MITRE-ATT&CK フレームワークでは、MITRE は特定のラベルとオブジェクトを持つ同様の STIX 情報を提供します。
| MITRE の用語 | STIX の用語 |
|---|---|
| テクニック | 攻撃パターン |
| 緩和 | 対処措置 |
| グループ | 侵入セット |
| マルウェア | マルウェア |
| ツール | ツール |
脅威インテリジェンス モジュールのデータ拡張
脅威インテリジェンス 脅威ソースのリストを維持し、広範なサイバー脅威情報が含まれる必要な STIX データをインポートできます。TAXII プロファイルを使用して、サイバー脅威情報を自動交換することもできます。
MITRE-ATT&CK モジュールのデータ拡張
マルウェア、グループ、緩和、およびツールのオブジェクトを MITRE-ATT&CK リポジトリのテクニックに拡張できます。
[MITRE ATT&CK リポジトリ] モジュールでは、新しいオブジェクトを作成し、テクニックと新しいオブジェクト間の関係を確立できますが、このモジュールでは関係タイプは定義できません。関係タイプを定義するには、 移動します
既存のテクニックと既存のオブジェクトの間で関係タイプをマッピングする場合は、テクニックをターゲットオブジェクトとして、オブジェクトをソースオブジェクトとして定義する必要があります。これを行うには、 移動します
グループを作成して攻撃パターンに関連付けることはできますが、MITRE ATT&CK リポジトリで確立できるのはグループと攻撃パターンの関係のみです。オブジェクト間の関係タイプを定義するには、IoC リポジトリで行う必要があります。