テクニックの管理

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • MITRE TAXII コレクションからインポートされたテクニックを管理します。テクニックには、攻撃者が特定の戦術を使用するために開発したさまざまな方法が含まれています。組織に関係のないテクニックは、確認して非アクティブ化できます。STIX では、テクニックは攻撃パターンと呼びます。

    始める前に

    必要なロール:
    • sn_ti.admin:削除アクセス
    • sn_si.admin:作成、書き込み、削除アクセス
    • sn_ti.read:読み取りアクセス
    • sn_ti.write:作成、書き込みアクセス

    手順

    1. 次のように移動する。 All (すべて) > 脅威インテリジェンス > MITRE ATT&CK リポジトリ > テクニック.
      テクニックとサブテクニックのリストを表示します。
      これで、テクニックとサブテクニックのリストが表示されます。
    2. 組織に関連しないテクニックを確認して非アクティブ化するには、選択したテクニックのリストビューに移動し、[アクティブ] 列で設定を [false] に更新します。
      MITRE-ATT&CK リポジトリ内の他のオブジェクトで使用されていないテクニックを非アクティブ化します。
    3. テクニックに優先度を付けるには、[関連する優先度 (カスタム)] フィールドで優先度をアサインします。
      ベースシステム関連の優先度は、[なし] に設定されています。[関連する優先度 (カスタム)] フィールドは、MITRE-ATT&CK TAXII コレクションからインポートされたものではなく、Now Platform に導入されたカスタムフィールドです。関連する優先度情報を使用して、データソースのマッピング時、またはヒートマップの分析時に、ダッシュボードでテクニックをフィルタリングして優先度を付けることができます。
    4. テクニックをクリックして、このテクニックに関連するすべての情報を表示します。

      次の図では、アカウントアクセス削除テクニック、その ID、ソース、および他の関連情報を表示できます。

      攻撃パターンテクニックとその関連情報を表示します。
      注:
      MITRE によって導入されたデータソース:データコンポーネント要素は、前の [データソース] フィールドを置き換えるものです。データコンポーネントは、データソースにコンテキストの追加サブレイヤーを提供します。MITRE-ATT&CK リポジトリに古い TAXII コレクションが含まれている場合は、[データソース] フィールドを表示できます。それ以外の場合は、[データソース:データコンポーネント] フィールドのデータコンポーネントの追加コンテキストでデータソースを表示できます。ソースがエンタープライズ ATT&CK の場合にのみ、新しいデータコンポーネントフィールドを表示できます。詳細については、「data component mapping (データコンポーネントのマッピング)」を参照してください。
    5. これらのオブジェクトがどのように関連しているかを表示するには、[関係を表示] をクリックします。

    次のタスク

    これらの関連リストオブジェクトの一部では、情報を拡張できます。たとえば、グループ、緩和、外部参照の情報を新たに追加できます。