MITRE-ATT&CK データを拡張する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:1分

    • Now PlatformMITRE-ATT&CK リポジトリデータを増やすことで、拡張します。

    始める前に

    必要なロール:
    • sn_ti.admin:削除アクセス
    • sn_ti.read:読み取りアクセス
    • sn_ti.write:作成、書き込みアクセス

    このタスクについて

    マルウェア、グループ、緩和、およびツールのオブジェクトを MITRE-ATT&CK リポジトリのテクニックに拡張できます。

    [MITRE ATT&CK リポジトリ] モジュールでは、新しいオブジェクトを作成し、テクニックと新しいオブジェクトの間の関係を確立できますが、このモジュールでは関係タイプは定義できません。関係タイプの定義の詳細については、「object to object relationships (オブジェクト間の関係)」を参照してください。関係タイプを定義するには、 脅威インテリジェンス > IoC リポジトリ > オブジェクトとオブジェクトのリレーションシップ 移動します

    既存のテクニックと既存のオブジェクトの間で関係タイプをマッピングする場合は、テクニックをターゲットオブジェクトとして、オブジェクトをソースオブジェクトとして定義する必要があります。これを行うには、 IoC リポジトリ > オブジェクトとオブジェクトのリレーションシップ 移動します

    グループを作成して攻撃パターンに関連付けることはできますが、MITRE ATT&CK リポジトリで確立できるのはグループと攻撃パターンの関係のみです。オブジェクト間の関係タイプを定義するには、IoC リポジトリで行う必要があります。

    注:
    オブジェクトに対して行ったカスタマイズは、スケジュール設定済みの更新時に保存されます。

    手順

    1. 次のように移動する。 脅威インテリジェンス > MITRE ATT&CK リポジトリ > テクニック.
    2. テクニックまたはサブテクニックをクリックして、このテクニックに関連するすべての情報を表示します。
      次の図では、ボットネット (T1584.005) テクニックがどのグループにも関連付けられていないことがわかります。テクニックまたはサブテクニックに関する追加情報がある場合は、情報を追加または変更することで拡張できます。ボットネットを別のオブジェクトに関連付けます。
    3. 関連リストをクリックしてデータを拡張し、新しいグループに関連付けます。

      次の図では、グループ [Custom1] がボットネットのサブテクニックに関連付けられています。

      データを拡張して MITRE オブジェクト情報を拡張します。