調査キャンバス MITRE フィルター

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • MITRE フィルターを使用すると、特定の攻撃者やその他の MITRE テクニック属性に関連付けられた戦術、テクニック、手順 (TTP) のフィルターを作成して保存できます。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    このタスクについて

    アナリストは、MITRE カードで利用可能なフィルターを使用して、調査に関与する攻撃者に関連する特定のアクター TTP をフィルタリングできます。

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. 脅威アナリストワークベンチアイコンを選択します。
    3. 検索項目 ケース管理 > すべてのケース.
    4. 任意のケースをオープンします。
    5. [ 調査キャンバス ] タブに移動します。
    6. [ フィルター ] を選択して、特定の攻撃者およびその他の MITRE テクニック属性に関連付けられた戦術、テクニック、手順 (TTP) のフィルターを作成します。
    7. フィルターパネルに必要な値を入力して、目的のフィルターを適用します。
      MITRE フィルターパネルを使用すると、グループ、マルウェア、ツール、タグ、優先度などの選択した基準に基づいて MITRE ATT&CK テクニックをフィルタリングして可視化できます。
      フィールド 説明
      保存したフィルター アナリストは、特定の基準を 保存済みフィルター として保存し、再利用することができます。アナリストによって保存されたフィルターはユーザー固有です。
      注:
      たとえば、アナリスト X がフィルター構成を保存した場合、そのフィルター構成はアナリスト X にのみ表示されます。別のアナリストがログインしてフィルタードロップダウンを表示しても、他のユーザーが保存したフィルターは表示されません。

      これにより、各ユーザーは、他のユーザーのフィルター設定に影響を与えたり、影響を受けたりすることなく、パーソナライズされたビューを作成および管理できます。
      フィルター名 フィルターの名前。
      MITRE グループ MITRE グループを示します。1 つ以上のグループを選択して、関連付けられたテクニックをフィルタリングします。
      MITRE マルウェア MITRE マルウェアを示します。1 つ以上のマルウェアアイテムを選択して、それに関連付けられたテクニックをフィルタリングします。
      MITRE ツール MITRE ツールを示します。ツールを 1 つ以上選択して、関連付けられているテクニックをフィルタリングします。
      TISC タグ TISCタグを示します。分類に基づいてテクニックをフィルタリングするタグを 1 つ以上選択します。
      テクニックの優先度 テクニックの優先度レベルを示します。1 つ以上のオプションを選択し、割り当てられた優先度に基づいてテクニックをフィルタリングできます。
      すべてクリア フィルターパネルに入力された入力をクリアできます。
      新しいフィルターとして保存 フィルターパネルに入力された基準を、新しい保存済みフィルターとして保存します。
      注:
      保存されたフィルター名は一意である必要があります。
      現在のフィルターを保存 現在選択されている保存済みフィルターの基準への変更を保存します。
      このオプションを使用してフィルターの名前を変更することもできます。
      注:
      保存されたフィルター名は一意である必要があります。
      適用 このオプションを使用すると、MITRE カードのフィルターに変更を適用できます。
      削除 選択した保存済みフィルターを削除するには、このオプションを選択します。

      保存済みフィルターの横にある [削除 ] ボタンをクリックすると、このフィルターを削除してもよいかどうかを確認するメッセージが表示されます。このアクションを確認すると、保存済みフィルターが完全に削除されます。

      フィルターパネル内の個々のフィールド値を削除するには、その特定のフィールドの横にある [削除] (ゴミ箱) アイコンをクリックします。

      これらの値を使用してフィルターを適用すると、MITRE マトリクスが動的に更新され、選択した属性に関連付けられたテクニックのみが表示されます。この焦点を絞ったビューにより、アナリストは調査中に最も関連性の高い戦術、テクニック、手順 (TTP) に集中できます。

      さらに、アナリストは、マルウェア、ツール、タグ、および優先度レベルのフィルターを使用して、TTP をさらに絞り込むことができます。

      MITRE フィルター

    8. オプション: [ 新しいフィルターとして保存 ] を選択して、フィルター基準を保存します。
    9. [ 適用] を選択して変更を適用します。

    MITRE グループによるフィルタリング

    MITRE グループを APT32 (G1001、次のスクリーンショットを参照) として選択します。このフィルターを適用すると、MITRE マトリクスが更新され、選択したグループに直接リンクされているテクニックのみが表示されます。

    MITRE フィルターの例

    この集中ビューは、アナリストが選択した脅威グループに関連付けられた戦術、テクニック、手順 (TTP) に特に集中するのに役立ちます。

    フィルターを適用すると、マトリクス内のいくつかのテクニックは青色のテキストで表示され、その他のテクニックはグレーで表示されます。

    TISC 調査キャンバス MITRE テクニックとサブテクニック。

    MITRE フレームワークの視覚的表現は、テクニックとサブテクニックが適用されたフィルターと調査コンテキストにどのように関連しているかを示します。
    • 青色のテキスト: 青色のテキストで表示されたテクニックまたはサブテクニックは、フィルター基準に一致するテクニックまたはサブテクニックを示します。
    • 色の太字テキストと青色の境界線:青色の太字のテキストと青色の境界線で表示されるテクニックまたはサブテクニックは、フィルター基準に一致し、キャンバス上の 1 つ以上のノードに関連付けられていることを示します。
    • グレイカード: 親テクニックは、フィルター基準に直接一致しない場合 (つまり、選択したグループにリンクされていない) 場合はグレーで表示されますが、フィルター基準に一致するリンクされたサブテクニックとの親関係を表すように表示されます。