완화 관리
MITRE TAXII 컬렉션에서 임포트하는 완화를 관리합니다. 완화를 사용하면 악의적 사용자가 조직에 대해 기술 또는 하위 기술을 성공적으로 실행하는 것을 방지할 수 있습니다. STIX에서 완화는 동작 방침이라고 합니다.
시작하기 전에
필요한 역할: sn_sec_tisc.analyst
프로시저
-
기본 시스템에서 사용할 수 있는 MITRE ATT&CK 관련 피드 데이터 소스를 활성화한 후 지금 실행을 클릭하여 통합을 실행하고 MITRE 관련 정보를 가져옵니다.
통합 활성화에 대한 자세한 내용은 다음을 참조하십시오.
-
MITRE ATT&CK 리포지토리 데이터를 보려면 다음으로 이동하십시오. 작업 공간 > 위협 인텔리전스 보안 센터 > 위협 인텔 라이브러리 > MITRE ATT&CK > 완화.
관련된 모든 정보를 보려면 완화를 클릭합니다.
- 새로 만들기를 클릭하여 MITRE ATT&CK 완화를 수동으로 생성합니다.
-
필드에 적절한 정보를 입력합니다.
표 1. 새 MITRE 도구 생성 - 상세 정보 필드 설명 ID 공격을 방지하기 위한 동작 과정의 고유 ID입니다. 해지함 해지된 객체를 객체 작성자가 더 이상 유효한 것으로 간주하지 않음을 나타냅니다. 이름 개체를 식별하는 설명이 포함된 이름을 입력합니다. 소스 이 객체 기록이 생성되는 위협 소스를 지정합니다. 별칭 이 객체를 식별하는 다른 이름의 목록입니다. 소스에서 생성된 시간 소스에서 객체가 만들어지는 시간을 지정합니다. 소스에서 수정된 시간 원본에서 개체가 수정되는 시간을 지정합니다. 설명 객체의 목적과 주요 특성을 포함하여 객체에 대한 자세한 정보와 컨텍스트를 제공하는 설명입니다. 기고자 기고자를 지정합니다. 인사이트 메모 완화와 관련된 추가 정보입니다. 추가 정보 추가 컨텍스트 이 객체에 대한 컨텍스트를 추가합니다. 설명 이 객체에 대한 주석을 추가합니다. - 저장을 클릭합니다.