Déployer des informations à MITRE-ATT&CK l’aide MISP des résultats d’enrichissement

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Cumulez manuellement les résultats de l’enrichissement MISP si vous n’avez pas activé le déploiement automatique des MISP informations.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Utilisez les règles d’extraction automatique du système de base pour importer les MITRE-ATT&CK informations à partir de l’intégration MISP . L’introduction Intégration de MISP pour Opérations de sécurité de deux règles d’extraction technique du système MITRE-ATT&CK de base pour MISP les MISP galaxies et MISP les balises. Pour plus d’informations sur les règles d’extraction automatique dans MITRE-ATT&CK, consultez Règles de la technique d’extraction automatique pour l’importation d’informations MITRE-ATT&CK.

    Si vous avez activé Déploiement automatique de MITRE-ATT&CK l’information à l’aide de MISP Résultats de l’enrichissement à un incident de sécurité, les informations sont automatiquement déployées. Si vous n’avez pas activé la reprise automatique, vous pouvez effectuer cette tâche manuellement.

    Procédure

    1. Accédez à la Tout > Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez enrichir avec les MITRE-ATT&CK informations.
    3. Cliquez sur Afficher toutes les listes connexes et sur l’onglet Résultats de l’enrichissement MISP .
    4. Sélectionnez l’observable et, dans le menu Actions, cliquez sur Déployer les informations MITRE ATT&CK sur SI.
      Vous pouvez sélectionner plusieurs observables, puis déployer les informations.
    5. Pour confirmer les modifications, cliquez sur Recharger.
      L’exemple suivant montre comment sélectionner un observable et déployer les résultats de l’enrichissement MISP dans l’incident de sécurité.
      Figure 1. Déployer des informations MITRE dans un incident de sécurité
      Déployer les informations MITRE sur un incident de sécurité.

    Résultats

    Vous pouvez afficher la MITRE-ATT&CK carte pour confirmer que les résultats de l’enrichissement MISP ont été déployés jusqu’à l’incident de sécurité.