Extraktionsmethode für MITRE ATT&CK-Technik

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Die Extraktionsmethode für die MITRE ATT&CK-Technik beschreibt, wie die Extraktionsmethoden durchgeführt und die zugehörigen Techniken verifiziert werden.

    1. Die Extraktionsregeln für Datenquellen (Bedrohungssuchen sind nicht anwendbar) werden verarbeitet, wenn ein Quelldatensatz für eine Entität (z. B. erkennbare Elementquelle oder Objektquelle) erstellt wird.
    2. Die Regeln gelten für alle Felder im Datensatz der Entitätsquelle (außer Datum, Nummernfelder, Nutzungskategorie und Angriffsphasen).
    3. Die extrahierten MITRE-Techniken werden dem entsprechenden Entitätsdatensatz zugeordnet, und Sie zeigen die Datensätze in der zugehörigen Liste „MITRE-Techniken“ auf der Registerkarte Zugehörige Datensätze an.
      Hinweis:
      Die MITRE-Techniken werden zuerst extrahiert und dem Entitätsquelldatensatz zugeordnet. Anschließend werden die Technikzuordnungen dedupliziert und im übergeordneten Entitätsdatensatz zusammengefasst.

    Zeigen Sie MITRE-Techniken an

    1. Navigieren zu Threat Intel-Bibliothekbeliebigen Entitätsdatensatz (erkennbares Element oder Objekt) mithilfe von.
    2. Klicken Sie auf die Registerkarte Zugehörige Datensätze.
    3. Wählen Sie MITRE-Techniken aus, und zeigen Sie die zugehörigen extrahierten Techniken an.
    4. Klicken Sie auf die MITRE-Technik-ID, um den MITRE-Technikzuordnungsdatensatz anzuzeigen und darauf zuzugreifen. In der Spalte „Quellen “ werden alle Quellen angezeigt (ebenfalls durch Komma getrennt, wenn mindestens eine Quelle vorhanden ist), die dem Entitätsquelldatensatz zugeordnet sind, für den die MITRE-Extraktion durchgeführt wird.
      Hinweis:
      Wenn dieselben Taktik- und Technik-IDs aus mehreren Quellen extrahiert werden, wird nur ein Zuordnungsdatensatz für Taktik und Technik angezeigt, und in der Spalte „Quellen “ werden alle extrahierten Quellen angezeigt.
    5. Zur Problembehandlung können Sie die MITRE-Extraktionsregel anzeigen, die für die Extraktion der Taktik- und Technikzuordnungen verantwortlich war, indem Sie zu Technik Quellbeziehungennavigieren.
      Hinweis:
      Achten Sie darauf, die Spalte „Extraktionsregel“ über das Symbol „Listenaktionen“ hinzuzufügen, falls die Spalte „Extraktionsregel“ nicht angezeigt wird.
    Die Extraktionsregeln für Bedrohungssuchen werden immer dann verarbeitet, wenn der Datensatz für das Bedrohungssuchergebnis für ein erkennbares Element erstellt wird, für das die Aktion „Bedrohungssuche ausführen“ ausgelöst wird. Die Extraktion wird nur für die Nutzlast der Rohdaten (Feld „raw_data“) durchgeführt, die im Ergebnis der Bedrohungssuche verfügbar ist Datensatz
    Hinweis:
    • Wenn in der extrahierten Entitätsquelle (erkennbares Element oder Objekt) oder im Bedrohungssuchergebnis für eine MITRE ATT&CK-Technik keine Taktik-ID vorhanden ist, werden die Technikzuordnungen für alle Taktiken erstellt, die der entsprechenden Technik im MITRE-Repository zugeordnet sind.
    • Wenn in der extrahierten Entitätsquelle (erkennbares Element oder Objekt) oder im Bedrohungssuchergebnis für eine MITRE ATT&CK-Technik eine Taktik-ID vorhanden ist, werden die Technikzuordnungen ausdrücklich nur für alle extrahierten Taktiken erstellt, die der entsprechenden Technik zugeordnet sind im MITRE-Repository.