Effectuer une analyse des liens et une chasse aux menaces à l’aide de MITRE-ATT&CK filtres spécifiques

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Corrélez et effectuez une analyse de liens des observables, des incidents de sécurité et MITRE-ATT&CK des informations connexes afin que votre organisation puisse commencer à rechercher les menaces.

    Avant de commencer

    Rôle requis : sn_ti.mitre_analyst, sn_si.read

    Pourquoi et quand exécuter cette tâche

    Une fois que vous avez associé les incidents de sécurité à MITRE-ATT&CK des informations, vous pouvez utiliser les filtres spécifiques pour la MITRE-ATT&CK chasse aux menaces. Utilisez les MITRE-ATT&CK filtres avec les filtres existants Réponse aux incidents de sécurité pour mettre en corrélation et effectuer une analyse de lien.

    Procédure

    1. Accédez à la Tous > Incidents de sécurité > Afficher les incidents.
    2. Cliquez sur Mettre à jour la liste personnalisée pour ajouter les MITRE colonnes.
    3. Sélectionnez une condition de filtre afin de pouvoir afficher MITRE les informations connexes et les associations avec les incidents de sécurité ou les observables :
      • MITRE-ATT&CK Groupe d’adversaires
      • MITRE-ATT&CK Source de données
      • MITRE-ATT&CK Procédure (programme malveillant)
      • MITRE-ATT&CK Procédure (outils)
      • MITRE-ATT&CK Tactique
      • MITRE-ATT&CK Technique
    4. Créez une condition de filtre basée sur les critères ci-dessus et cliquez sur Exécuter pour effectuer une analyse de lien ou une corrélation entre les incidents de sécurité, les observables et MITRE-ATT&CK les informations connexes.
      Remarque :
      Les MITRE-ATT&CK données sont stockées sous forme de chaîne et vous ne pouvez utiliser contient que comme opérateur pour les conditions de filtre.

      Par exemple, si vous souhaitez vérifier qu’un élément de configuration (CI) est compromis, vous sélectionnez un CI. Vous corrélez ensuite le CI avec les techniques présentes en ajoutant un MITRE-ATT&CK ID de technique. Vous pouvez ensuite continuer à créer vos critères de filtrage pour corréler les informations et pour la chasse aux menaces.

      Conditions de filtre MITRE pour l’analyse des menaces.