Étendre les MITRE-ATT&CK données
Étendre les données du MITRE-ATT&CK référentiel en ServiceNow AI Platform les enrichissant.
Avant de commencer
- sn_ti.admin : supprimer l’accès
- sn_ti.read : accès en lecture
- sn_ti.write : créer, accès en écriture
Pourquoi et quand exécuter cette tâche
Vous pouvez étendre les objets Programme malveillant, Groupe, Atténuation et Outil à une technique du MITRE-ATT&CK référentiel.
Vous pouvez créer un objet et établir une relation entre une technique et le nouvel objet dans le module Référentiel MITRE ATT&CK, mais vous ne pouvez pas définir le type de relation dans ce module. Pour plus d’informations sur la définition des types de relations, consultez Relations objet à objet. Pour définir un type de relation, accédez à l' module.
Si vous mappez le type de relation entre une technique existante et un objet existant, vous devez définir la technique comme objet cible et l’objet comme objet source. Pour ce faire, accédez au module.
Vous pouvez créer un groupe et l’associer à un modèle d’attaque, mais dans le référentiel MITRE ATT&CK, vous pouvez uniquement établir la relation entre le groupe et le modèle d’attaque. Pour définir le type de relation objet à objet, vous devez le faire dans le référentiel IoC.
Procédure
-
Cliquez sur une technique ou une sous-technique pour afficher toutes les informations associées à cette technique.
Dans l’illustration suivante, vous pouvez voir que la technique du botnet (T1584.005) n’est associée à aucun groupe. Si vous disposez d’informations supplémentaires sur une technique ou une sous-technique, vous pouvez les enrichir en les ajoutant ou en les modifiant.
-
Cliquez sur une liste connexe pour enrichir ses données et l’associer à un nouveau groupe.
Dans l’illustration suivante, un groupe, Custom1, a été associé à la sous-technique du botnet.