Associer des MITRE-ATT&CK informations à des incidents de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Associez les tactiques et les techniques à l’incident MITRE-ATT&CK de sécurité pour une meilleure analyse des incidents de sécurité et des menaces.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Ajoutez des informations sur les MITRE-ATT&CK tactiques et les techniques à l’incident de sécurité afin de pouvoir corréler vos informations sur l’incident de sécurité et les menaces pour une meilleure analyse. Par exemple, votre organisation peut recevoir des informations relatives aux tactiques, techniques et procédures (TTP) de la part de vos sources tierces, telles que Renseignements sur les menaces des rapports ou d’autres sources extérieures au .Réponse aux incidents de sécurité Vous ajoutez ensuite ces informations pour améliorer la corrélation et l’analyse SIR des menaces.

    Vous pouvez choisir de déployer automatiquement les MITRE-ATT&CK informations à partir des résultats de l’extraction automatique de la recherche de menace, des observables ou d’un incident de sécurité enfant vers un incident de sécurité. Pour le déploiement automatique sur les incidents de sécurité, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque recherche de menace ou observable.

    Procédure

    1. Accédez à la Tous > Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez enrichir avec les MITRE-ATT&CK informations.
    3. Cliquez sur le lien connexe Associer la technique MITRE ATT&CK .
      Le volet Associer la technique MITRE ATT&CK s’affiche.

      Cette illustration montre comment accéder à la liste connexe et rechercher Associer MITRE-ATT&CK une technique, examiner l’ATT&CK d’entreprise source, ajouter un impact tactique et ajouter une technique d’arrêt/redémarrage du système.

    4. Sélectionnez la source.
      Remarque :
      Seules les collections et matrices qui ont été activées s’affichent dans la liste des sources.
      Les tactiques et techniques associées à la source peuvent être sélectionnées. Vous pouvez également associer plusieurs sources.
    5. Sélectionnez la tactique et les techniques.
    6. Facultatif : Examinez les informations en fonction de leur pertinence avec l’incident de sécurité et procédez comme suit :
      • Pour supprimer complètement l’association, cliquez sur l’icône de la corbeille. Cliquez sur cette icône pour supprimer la source et ses tactiques et techniques associées.
      • Pour supprimer une tactique, cliquez sur l’icône moins en regard de la tactique.
      • Pour supprimer une technique, cliquez sur l’icône x en regard de la technique.
    7. Cliquez sur Enregistrer.

    Résultats

    Les MITRE-ATT&CK informations sont associées à l’incident de sécurité. Vous pouvez maintenant afficher les informations associées dans la carte MITRE ATT&CK.

    Associer des MITRE-ATT&CK informations à des incidents de sécurité clôturés

    Vous pouvez désormais associer MITRE-ATT&CK des tactiques et des techniques aux incidents de sécurité fermés pour une meilleure analyse des incidents de sécurité et des menaces.

    Utilisation de la MITRE-ATT&CK carte pour afficher des informations connexes dans un incident de sécurité

    Vous pouvez utiliser la MITRE-ATT&CK carte pour consulter les MITRE-ATT&CK informations connexes dans un incident de sécurité.

    Une fois les informations déployées à partir d’une recherche de menace, d’un observable ou d’une intégration SIEM, elles sont ajoutées à l’incident de sécurité. Ensuite, les informations agrégées sont présentées dans la MITRE-ATT&CK carte. La carte MITRE ATT&CK offre deux vues :

    • Vue du navigateur : cette vue, qui est similaire au MITRE-ATT&CK navigateur, affiche toutes les techniques qui ont été ajoutées ou déployées manuellement à partir des tables de recherche d’observables ou de menaces. Afficher l’origine des techniques Affiche la source de la technique si elle a été déployée manuellement ou via une source. Afficher l’ID affiche l’ID de la technique.

      L’illustration suivante montre comment accéder à la vue du navigateur de carte MITRE ATT&CK . En cliquant sur l’un des liens disponibles, les informations s’ouvrent dans le Renseignements sur les menaces module.

    • Vue Liste : cette vue affiche les données sous forme de liste ou de tableau. Vous pouvez afficher toutes les données réparties dans différentes tables et différents groupes dans cette vue.

      L’illustration suivante montre comment accéder à la vue de liste MITRE ATT&CK Card. En cliquant sur l’un des liens disponibles, les informations s’ouvrent dans le Renseignements sur les menaces module.