Rollup von MITRE-Technikzuordnungen durchführen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Führen Sie einen Rollup von MITRE-Technikzuordnungen von erkennbaren Elementen, Indikatoren, Objekten und Security Incidents durch, die mit einem Falldatensatz verknüpft sind oder nicht.

    Vorbereitungen

    Hinweis:
    • Beim Rollup von MITRE-Technikzuordnungen für Security Incidents werden die der MITRE-Technik zugeordneten Daten aus Security Incidents für die Fallverwaltung in TISC zusammengefasst.
    • Standardmäßig ist diese Eigenschaft „sn_sec_tisc.auto_rollup_mitre_data“ für MITRE-Techniken aktiviert, um automatisch ein Rollup zu Fällen aus den zugeordneten Objekten oder Security Incidents durchzuführen.
    • Wenn Sie bei Bedarf ein Rollup von MITRE-Technikzuordnungen durchführen möchten, navigieren Sie zu den weiteren Aktionen in der Fallformularansicht, und wählen Sie die Option Rollup für MITRE-Techniken durchführen aus. Dieser Vorgang wird asynchron ausgeführt, und Sie können den Abschnitt „Aktivitätenstrom“ auf Aktualisierungen für die Rollup-Aktivität überprüfen.
    Erforderliche Rolle: sn_sec_tisc.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    • Wenn eine Entität wie ein erkennbares Element oder ein Indikator mit einem Fall verknüpft ist, werden alle MITRE-Technikzuordnungen, die für diese Entität vorhanden sind, automatisch für den Fall zusammengefasst.
    • Wenn die Verknüpfung einer Entität (z. B. eines erkennbaren Elements oder eines Indikators) aufgehoben und aus dem Fall entfernt wird, werden alle MITRE-Technikzuordnungen, für die ein Rollup aus dem Fall durchgeführt wird und für diese Entität vorhanden sind, automatisch entfernt und für den Fall zusammengefasst.

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum.
    2. Klicken Sie auf das Symbol „Workbench für Bedrohungsanalysten“.
    3. Gehe zu Fallmanagement > Alle Fälle.
      Alle Fälle werden angezeigt.
    4. Öffnen Sie einen beliebigen Fall.
    5. Wechseln Sie zur Registerkarte Artefakte.
    6. Wählen Sie in der zugehörigen Liste der Artefakte Observables ( Erkennbare Elemente) aus.
    7. Wählen Sie die Schaltfläche Link aus.
    8. Wählen Sie die erkennbaren Elemente aus, die Sie mit dem Fall verknüpfen möchten.
    9. Klicken Sie auf Link, um die erkennbaren Elemente zu verknüpfen.
      Nachdem Sie die erkennbaren Elemente mit einem Fall verknüpft haben, werden die MITRE-Techniken, die diesem bestimmten erkennbaren Element zugeordnet sind, automatisch zusammengefasst, und die Listenanzahl der MITRE-Techniken im Abschnitt „Artefakte“ wird automatisch aktualisiert.
    10. Klicken Sie auf Verknüpfung aufheben, um die Verknüpfung der erkennbaren Elemente mit dem Fall aufzuheben.
      Nachdem Sie die Verknüpfung der erkennbaren Elemente mit einem Fall aufgehoben haben, werden die diesem bestimmten erkennbaren Element zugeordneten MITRE-Techniken automatisch entfernt, und die Anzahl der MITRE-Technikenliste im Abschnitt „Artefakte“ wird automatisch aktualisiert.