Führen Sie einen Rollup für MITRE-ATT&CK Informationen mithilfe von MISP Ergänzungsergebnissen durch

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Führen Sie ein manuelles Rollup der MISP-Ergänzungsergebnisse durch, wenn Sie das automatische Rollup von MISP Informationen nicht aktiviert haben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Verwenden Sie die automatischen Extraktionsregeln des Basissystems, um die MITRE-ATT&CK -Informationen aus der MISP -Integration zu importieren. Mit MISP integration for Security Operations werden zwei Extraktionsregeln für die Basissystem-[ MITRE-ATT&CK -Technik für die Tags MISP - MISP Galaxien und MISP eingeführt. Weitere Informationen zu Regeln für die automatische Extraktion in MITRE-ATT&CKfinden Sie unter Technikregeln für automatische Extraktion zum Importieren von MITRE-ATT&CK-Informationen.

    Wenn Sie aktiviert haben automatisches Rollup von MITRE-ATT&CK Informationen mit MISP Ergänzungsergebnisse zu einem Security Incident wird für die Informationen automatisch ein Rollup durchgeführt. Wenn Sie das automatische Rollup nicht aktiviert haben, können Sie diese Aufgabe manuell ausführen.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie mit den MITRE-ATT&CK -Informationen anreichern möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die Registerkarte MISP-Ergänzungsergebnisse anzeigen.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie im Menü „Aktionen“ auf MITRE ATT&CK-Informationen für SI zusammenfassen.
      Sie können mehrere erkennbare Elemente auswählen und dann die Informationen zusammenfassen.
    5. Um die Änderungen zu bestätigen, klicken Sie auf Neu laden.
      Das folgende Beispiel zeigt, wie Sie ein erkennbares Element auswählen und für die Ergänzungsergebnisse MISP einen Rollup zum Security Incident durchführen.
      Abbildung : 1. Führen Sie einen Rollup für MITRE-Informationen zu einem Security Incident durch
      Führen Sie einen Rollup für MITRE-Informationen zu einem Security Incident durch.

    Ergebnisse

    Sie können die Karte MITRE-ATT&CK anzeigen, um zu bestätigen, dass für die MISP-Ergänzungsergebnisse ein Rollup zum Security Incident durchgeführt wurde.