Associer des MITRE-ATT&CK informations à des incidents de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Associez les MITRE-ATT&CK tactiques et les techniques à l’incident de sécurité pour une meilleure analyse des incidents de sécurité et des menaces.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Ajoutez les informations sur les tactiques et les techniques à l’incident de sécurité afin de pouvoir corréler vos informations sur les MITRE-ATT&CK incidents de sécurité et les menaces pour une meilleure analyse. Par exemple, votre organisation peut recevoir des informations relatives aux tactiques, techniques et procédures (TTP) de vos sources tierces, telles que Renseignements sur les menaces des rapports ou d’autres sources extérieures au Réponse aux incidents de sécurité. Vous rajoutez ensuite ces informations pour SIR une meilleure corrélation et une meilleure analyse des menaces.

    Vous pouvez choisir de déployer les MITRE-ATT&CK informations automatiquement à partir des résultats de l’extraction automatique des menaces, des observables ou d’un incident de sécurité enfant vers un incident de sécurité. Pour une reprise automatique jusqu’aux incidents de sécurité, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque recherche de menace ou observable.

    Procédure

    1. Accédez à la Tout > Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez enrichir avec les MITRE-ATT&CK informations.
    3. Cliquez sur le lien connexe Associer la technique MITRE ATT&CK .
      La fenêtre Associate MITRE ATT&CK Technique (Associer une technique MITRE ATT&CK) s’affiche.

      Cette illustration montre comment naviguer vers la liste connexe et rechercher une technique associée MITRE-ATT&CK , examiner l’ATT&CK d’entreprise source, ajouter un impact tactique et ajouter une technique d’arrêt/redémarrage du système.

    4. Sélectionnez Source.
      Remarque :
      Seules les collections et lesmatrices qui ont été activées apparaissent dans la liste source.
      Les tactiques et techniques associées à la source peuvent être sélectionnées. Vous pouvez également associer plusieurs sources.
    5. Sélectionnez la tactique et les techniques.
    6. Facultatif : Examinez les informations en fonction de leur pertinence par rapport à l’incident de sécurité et procédez comme suit :
      • Pour supprimer complètement l’association, cliquez sur l’icône de la corbeille. Cliquer sur cette icône supprime la source et ses tactiques et techniques associées.
      • Pour supprimer une tactique, cliquez sur l’icône moins en regard de la tactique.
      • Pour supprimer une technique, cliquez sur l’icône x en regard de la technique.
    7. Cliquez sur Enregistrer.

    Résultats

    Les MITRE-ATT&CK informations sont associées à l’incident de sécurité. Vous pouvez maintenant afficher les informations associées dans la carte MITRE ATT&CK.

    Associer des MITRE-ATT&CK informations à des incidents de sécurité fermés

    Vous pouvez désormais associer MITRE-ATT&CK des tactiques et des techniques aux incidents de sécurité fermés pour une meilleure analyse des incidents de sécurité et des menaces.

    Utilisation de la MITRE-ATT&CK carte pour afficher les informations connexes dans un incident de sécurité

    Vous pouvez utiliser la MITRE-ATT&CK carte pour afficher les MITRE-ATT&CK informations connexes dans un incident de sécurité.

    Une fois que les informations sont déployées à partir d’une recherche de menace, d’un observable ou d’une intégration SIEM, elles sont ajoutées à l’incident de sécurité. Ensuite, les informations agrégées sont présentées dans la MITRE-ATT&CK carte. La carte MITRE ATT&CK offre deux vues :

    • Vue Navigateur : cette vue, qui est similaire au MITRE-ATT&CK navigateur, affiche toutes les techniques qui ont été ajoutées ou déployées manuellement à partir des tables de recherche d’observables ou de menaces. Afficher l’origine des techniques affiche la source de la technique si elle a été déployée manuellement ou via une source. Afficher l’ID affiche l’ID de la technique.

      L’illustration suivante montre comment naviguer vers la vue Navigateur de carte MITRE ATT&CK . En cliquant sur l’un des liens disponibles, les informations s’ouvrent dans le Renseignements sur les menaces module.

    • Vue de liste : cette vue affiche les données sous forme de liste ou de tableau. Vous pouvez voir toutes les données réparties dans différentes tables et groupes dans cette vue.

      L’illustration suivante montre comment accéder à la vue de liste Carte MITRE ATT&CK. En cliquant sur l’un des liens disponibles, les informations s’ouvrent dans le Renseignements sur les menaces module.