Configurer le MITRE-ATT&CK cadre de travail

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Activez le MITRE-ATT&CK profil et configurez une tâche planifiée afin de pouvoir configurer MITRE-ATT&CK des collections pour la détection des menaces dans votre organisation.

    Avant de commencer

    Rôle requis : sn_ti.admin

    Pourquoi et quand exécuter cette tâche

    L’expression structurée d’information sur les menaces (STIX™Structured Threat Information Expression) est un langage permettant de décrire les informations sur les cybermenaces de manière standardisée et structurée. À l’aide des données STIX et des profils d’échange automatisé d’informations sur les indicateurs (TAXII™Trusted Automated Exchange), les équipes de sécurité peuvent utiliser les informations partagées sur les cybermenaces pour isoler les menaces qui ont été précédemment identifiées par votre entreprise et provenant d’autres sources.

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Sources > Profils TAXII.
      Les profils disponibles TAXII s’affichent.
    2. Cliquez sur le profil MITRE ATT&CK fourni avec le système de base.

      Renseignements sur les menaces : profil MITRE ATT&CK.
    3. Pour activer la TAXII collecte, définissez l’option Actif sur vrai pour la collection qui est pertinente pour votre TAXII organisation (Enterprise ATT&CK, Mobile ATT&CK ou ICS ATT&CK).
      Collecte TAXII Description
      ATT&CK d’entreprise Décrit les comportements et les actions qu’un adversaire adopte pour compromettre et opérer dans un réseau d’entreprise et dans le cloud.
      Remarque :
      La matrice pré-ATT&CK a été déconseillée par MITRE la matrice Enterprise et a été fusionnée avec elle.
      Mobile ATT&CK Décrit les comportements et les actions des adversaires qui se concentrent sur les équipements mobiles.
      ICS ATT&CK Décrit les actions entreprises par un adversaire lorsqu’il opère au sein d’un réseau de systèmes de contrôle industriel (ICS).
    4. Pour actualiser périodiquement la collection, définissez l’option Exécuter selon les besoins de votre organisation.
      Par défaut, cette option est définie sur Sur demande.
      Remarque :
      1. Les collections sont empaquetées dans le cadre du module d’extension Renseignements sur les menaces Core. L’installation ou la mise à jour de Threat Intelligence Support Common : version 12.0 ou supérieure et de Threat Intelligence : version 12.0 ou supérieure garantit que vos données de collecte sont renseignées automatiquement.
      2. Activez la TAXII collection uniquement pour la collection que vous avez l’intention d’utiliser dans votre organisation et désactivez les autres collections. Par exemple, si vous avez l’intention d’utiliser la matrice ATT&CK d’entreprise, activez ATT&CK d’entreprise au niveau de la TAXII collection et au niveau des matrices . Désactivez les autres matrices Mobile ATT&CK et ICS ATT&CK au niveau de la TAXII collection et au niveau des matrices.
      3. Dans les TAXII listes connexes Collectes, si vous sélectionnez l’option Exécuter sur Quotidien, une erreur se produit et l’option par défaut est Sur demande. Cette erreur se produit car la planification quotidienne de l’actualisation MITRE-ATT&CK des données est restreinte afin d’optimiser la charge sur les MITRE serveurs. De plus, MITRE les données ATT&CK ne sont mises à jour que deux fois par an.
      4. Les TAXII collections ne sont pas actualisées tant que vous ne l’activez pas TAXII .
      5. Les mises à jour des collections existantes peuvent être récupérées à partir du MITRE serveur en programmant la fréquence d’exécution dans chaque collection.
      6. Les personnalisations que vous apportez aux données du MITRE-ATT&CK référentiel (objets Logiciel malveillant, Groupe, Atténuation et Outil à une technique) sont enregistrées lors des mises à jour planifiées.
      7. MITRE Met à jour la base de MITRE-ATT&CK connaissances dans laquelle certains objets sont identifiés comme révoqués ou obsolètes, de nouveaux objets sont ajoutés ou des objets existants sont modifiés. En cas MITRE de révocation d’une tactique ou d’une technique, ces objets sont marqués comme révoqués dans le Now Platformfichier . Les objets révoqués sont conservés dans le référentiel mais ne peuvent pas être utilisés dans le Now Platformfichier .

    Que faire ensuite

    Une fois la configuration du profil TAXII terminée, les MITRE-ATT&CK données du référentiel sont importées à intervalles réguliers dans le Now Platform®fichier . Vous pouvez afficher ces données en accédant à Référentiel MITRE ATT&CK > Matrices et Référentiel MITRE ATT&CK > Techniques.