Déployer les MITRE-ATT&CK informations à l’aide des résultats de la recherche de menace

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Si vous n’avez pas activé le déploiement automatique des MITRE-ATT&CK informations, vous pouvez le faire manuellement.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Si vous avez activé Déploiement automatique de MITRE-ATT&CK informations issues des résultats de la recherche de menace vers l’incident de sécurité, les informations sont automatiquement déployées. Si vous n’avez pas activé le déploiement automatique, vous pouvez le faire manuellement.

    Procédure

    1. Accédez à la Tout > Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez enrichir avec les MITRE-ATT&CK informations.
    3. Cliquez sur Afficher toutes les listes connexes et sur l’onglet Résultats de la recherche de menaces .
    4. Sélectionnez l’observable, puis dans le menu Actions, cliquez sur Déployer les informations MITRE ATT&CK sur SI.
      Vous pouvez sélectionner plusieurs observables et déployer les informations.
    5. Cliquez sur Recharger pour confirmer les modifications.
      L’illustration suivante montre comment sélectionner un observable et déployer les résultats de la recherche de menace sur l’incident de sécurité.Déployer manuellement les résultats de la recherche de menace.
      Vous pouvez afficher la MITRE-ATT&CK carte pour confirmer que les résultats de la recherche de menaces ont été déployés sur l’incident de sécurité.