Definir a fonte de dados e o mapeamento da ferramenta de detecção

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Defina a fonte de dados e o mapeamento da ferramenta de detecção para MITRE-ATT&CK táticas e técnicas. O mapeamento de fonte de dados fornece informações sobre a relevância e a disponibilidade das fontes de dados e as ferramentas de detecção para monitorar as fontes de dados em seu ambiente.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: acesso de gravação, exclusão
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode identificar as fontes de dados e as ferramentas de detecção de que sua organização precisa para detectar as técnicas com eficácia.

    Por exemplo, se sua organização se concentrar em 5 técnicas, talvez você precise de 10 fontes de dados e 10 ferramentas de detecção para monitorar essas origens. Digamos que você identifique que sua organização não tem duas fontes de dados e cinco ferramentas de detecção. Este exercício fornece visibilidade sobre as fontes de dados, sua relevância para sua organização e para identificar lacunas na cobertura. Você também pode se concentrar em aprimorar seu ambiente com as fontes de dados e ferramentas de detecção corretas.

    Todas as táticas, técnicas, ID e fontes de dados ativas são preenchidas automaticamente com base em seu TAXII perfil

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Administração do MITRE ATT&CK > Mapeamento de fonte de dados.

      A ilustração a seguir mostra a lista de táticas, técnicas e seus IDs que foram preenchidos com base em suas atualizações de coleção.

      Mapear fontes de dados.

      Campo Descrição
      Tática Objetivo do adversário ou o motivo para executar uma ação.
      ID Identidade exclusiva da técnica.
      Técnica Como um adversário atinge um objetivo tático executando uma ação.
      Fonte de dados Fonte de dados associada à técnica.
      Fonte de dados revogada A fonte de dados será revogada se definida como verdadeira, no entanto, o mapeamento da fonte de dados ainda será mantido.

      Se o valor da fonte de dados não for encontrado em MITRE, o valor de Fonte de dados revogada será marcado automaticamente como verdadeiro. O mapeamento da fonte de dados de um registro será revogado se a técnica e os relacionamentos da fonte de dados estiverem ausentes nos dados MITRE atualizados.

      Padrão: falso
      Fonte de dados disponível Disponibilidade da fonte de dados.
      Ferramenta de detecção Ferramenta que complementa a fonte de dados detectando as técnicas usadas. A ferramenta de detecção é mapeada com o sensor de alerta em SIR.
      Revogado O mapeamento da fonte de dados de um registro será revogado se a técnica e os relacionamentos da fonte de dados estiverem ausentes nos dados MITRE atualizados.

      Padrão: falso
    2. Revise as fontes de dados listadas e modifique o valor no campo Fonte de dados disponível com base no seu ambiente.
    3. Nota:
      Você não pode editar esta entrada na exibição de lista.
      No campo Ferramenta de detecção, siga estas etapas:
      1. Clique no ícone de informações e clique em Abrir registro.
      2. Desbloqueie a entrada da Ferramenta de detecção.
      3. Use a lista de pesquisa para selecionar uma ferramenta de detecção. Você pode selecionar várias ferramentas de detecção.
      4. Clique em Atualizar.

      Na ilustração a seguir, várias ferramentas de detecção foram adicionadas para monitorar a fonte de dados.

      Como mapear a ferramenta de detecção.