Niveau de prise en charge

Support : basique.

Comment fonctionne Domain separation avec MITRE-ATT&CK

Pour réaliser Domain Separation, procédez comme suit :

• Créez un utilisateur avec les rôles sn_ti.admin requis dans le domaine respectif.
• Répliquez ce qui suit pour chaque domaine :
  • TAXII Collectes
    Remarque :

    • N’activez pas les collections dans le domaine global. Activez uniquement les collections répliquées et disponibles dans votre domaine.
    • Remplacez le champ Exécuter en tant que dans les collections par l’utilisateur disposant du rôle sn_ti.admin dans le domaine respectif.
  • Définition de couverture de la technique
  • Règle d'extraction de la technique
  • Règles de détection – Mappages MITRE ATT&CK
  • Couverture d’atténuation
    • Copiez tous les enregistrements de définition de couverture d’atténuation.
    • Copiez le calculateur de couverture d’atténuation ou créez-en un nouveau pour le domaine concerné.
  • Groupe de menaces : définitions de la carte thermique des techniques

Répliquer la collection TAXII

1. Accédez à la Renseignements sur les menaces > Sources > Profils TAXII.
2. Dans la barre d’en-tête, utilisez le sélecteur de domaine pour sélectionner votre domaine.
3. Sélectionnez la collection TAXII qui correspond à votre organisation (Enterprise ATT&CK, Mobile ATT&CK ou ICS ATT&CK).
4. Cliquez avec le bouton droit de la souris dans la barre d’en-tête et sélectionnez Insérer et rester. La collection TAXII en double est créée sous le domaine sélectionné
5. Revenez au profil TAXII MITRE ATT&CK pour afficher la collection TAXII en double.

L’illustration suivante montre comment sélectionner le domaine TOP/Initech, répliquer la collection TAXII dans le domaine et vérifier la collection TAXII répliquée.