Associer des MITRE-ATT&CK informations à des incidents de sécurité

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Associez les MITRE-ATT&CK tactiques et les techniques à l’incident de sécurité pour une meilleure analyse des incidents de sécurité et des menaces.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Ajoutez les informations sur les tactiques et techniques à l’incident de sécurité afin de corréler vos informations sur les MITRE-ATT&CK incidents de sécurité et les menaces pour une meilleure analyse. Par exemple, votre organisation peut recevoir des informations relatives aux tactiques, techniques et procédures (TTP) de vos sources tierces, telles que Renseignements sur les menaces des rapports ou d’autres sources extérieures au Réponse aux incidents de sécurité. Vous ajoutez ensuite ces informations pour SIR obtenir une meilleure corrélation et une meilleure analyse des menaces.

    Vous pouvez choisir de déployer automatiquement les MITRE-ATT&CK informations à partir des résultats de l’extraction automatique de la recherche de menaces, des observables ou d’un incident de sécurité enfant vers un incident de sécurité. Pour un cumul automatique jusqu’aux incidents de sécurité, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque recherche de menace ou observable.

    Procédure

    1. Accédez à la Tous > Incidents de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez enrichir avec les MITRE-ATT&CK informations.
    3. Cliquez sur le lien connexe Associer la technique MITRE ATT&CK .
      La fenêtre Associate MITRE ATT&CK Technique (Associer une technique MITRE ATT&CK) s’affiche.

      Cette illustration montre comment accéder à la liste connexe et rechercher Associer MITRE-ATT&CK une technique, examiner l’Enterprise ATT&CK source, ajouter un impact tactique et ajouter une technique d’arrêt/redémarrage du système.

    4. Sélectionnez Source.
      Remarque :
      Seules les collections et les matrices qui ont été activées apparaissent dans la liste source.
      Les tactiques et techniques associées à la source sont disponibles pour la sélection. Vous pouvez également associer plusieurs sources.
    5. Sélectionnez la tactique et les techniques.
    6. Facultatif : Examinez les informations en fonction de leur pertinence par rapport à l’incident de sécurité et effectuez les actions suivantes :
      • Pour supprimer complètement l’association, cliquez sur l’icône de corbeille. Cliquer sur cette icône supprime la source et ses tactiques et techniques associées.
      • Pour supprimer une tactique, cliquez sur l’icône moins à côté de la tactique.
      • Pour supprimer une technique, cliquez sur l’icône x en regard de la technique.
    7. Cliquez sur Enregistrer.

    Résultats

    Les MITRE-ATT&CK informations sont associées à l’incident de sécurité. Vous pouvez désormais afficher les informations associées dans la carte MITRE ATT&CK.

    Associer des MITRE-ATT&CK informations à des incidents de sécurité fermés

    Vous pouvez désormais associer MITRE-ATT&CK des tactiques et des techniques aux incidents de sécurité fermés pour une meilleure analyse des incidents de sécurité et des menaces.

    Utilisation de la MITRE-ATT&CK carte pour afficher les informations connexes dans un incident de sécurité

    Vous pouvez utiliser la MITRE-ATT&CK carte pour afficher les MITRE-ATT&CK informations connexes dans un incident de sécurité.

    Une fois les informations déployées à partir d’une recherche de menace, d’un observable ou d’une intégration SIEM, elles sont ajoutées à l’incident de sécurité. Ensuite, les informations agrégées sont présentées dans la MITRE-ATT&CK carte. La carte MITRE ATT&CK offre deux vues :

    • Vue du navigateur : cette vue, semblable au MITRE-ATT&CK navigateur, affiche toutes les techniques qui ont été ajoutées ou déployées manuellement à partir des tables d’observation ou de recherche de menace. Afficher l’origine des techniques affiche la source de la technique si elle a été déployée manuellement ou via une source. Afficher l’ID affiche l’ID de la technique.

      L’illustration suivante montre comment accéder à la vue du navigateur de carte MITRE ATT&CK . En cliquant sur l’un des liens disponibles, les informations s’ouvrent dans le Renseignements sur les menaces module.

    • Vue de liste : cette vue affiche les données sous forme de liste ou de tableau. Vous pouvez voir toutes les données réparties dans différentes tables et groupes dans cette vue.

      L’illustration suivante montre comment accéder à la vue de liste Carte MITRE ATT&CK. En cliquant sur l’un des liens disponibles, les informations s’ouvrent dans le Renseignements sur les menaces module.