프레임워크 설정 MITRE-ATT&CK

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • 조직에서 위협 탐지를 위한 컬렉션을 설정할 MITRE-ATT&CK 수 있도록 프로파일을 MITRE-ATT&CK 활성화하고 예약된 작업을 설정합니다.

    시작하기 전에

    필요한 역할: sn_ti.admin

    이 태스크 정보

    구조화된 위협 정보 표현식 (STIX™)은 사이버 위협 정보를 표준화되고 구조화된 방식으로 설명하는 언어입니다. 보안 팀은 STIX 데이터 및 신뢰할 수 있는 자동 표시기 정보 교환(TAXII™) 프로파일을 사용하여 공유된 사이버 위협 정보를 사용하여 회사 및 기타 소스에서 이전에 식별한 위협을 격리할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > 소스 > TAXII 프로파일.
      사용 가능한 TAXII 프로파일이 표시됩니다.
    2. 기본 시스템과 함께 제공된 MITRE ATT&CK 프로파일을 클릭하십시오.

      Threat Intelligence: MITRE ATT&CK 프로파일입니다.
    3. 컬렉션을 TAXII 활성화하려면 조직과 관련된 컬렉션(Enterprise ATT&CK, 모바일 ATT&CK 또는 ICS ATT&CK)에 대해 TAXII활성 옵션을 true로 설정합니다.
      TAXII 컬렉션 설명
      엔터프라이즈 ATT&CK 악의적 사용자가 엔터프라이즈 네트워크 및 클라우드를 손상시키고 작동하기 위해 취하는 동작과 조치를 설명합니다.
      주:
      사전 ATT&CK 매트릭스는 엔터프라이즈 매트릭스에서 MITRE 더 이상 사용되지 않으며 엔터프라이즈 매트릭스와 병합됩니다.
      모바일 ATT&CK 모바일 장치에 초점을 두는 공격자의 동작과 동작에 대해 설명합니다.
      ICS ATT&CK ICS(산업 통제 시스템) 네트워크 내에서 동작하는 동안 악의적 사용자가 수행하는 동작에 대해 설명합니다.
    4. 컬렉션을 주기적으로 새로 고치려면 조직에 맞게 실행 옵션을 설정합니다.
      기본적으로 이 옵션은 요청 시로 설정됩니다.
      주:
      1. 컬렉션은 Core 플러그인의 위협 인텔리전스 일부로 패키징됩니다. 위협 인텔리전스 지원 일반 - 버전 12.0 이상 및 위협 인텔리전스 - 버전 12.0 이상을 설치하거나 업데이트하면 수집 데이터가 자동으로 채워집니다.
      2. 조직에서 사용하려는 컬렉션에 대해서만 컬렉션을 TAXII 활성화하고 다른 컬렉션은 비활성화합니다. 예를 들어 엔터프라이즈 ATT&CK 매트릭스를 사용하려는 경우 컬렉션 수준과 매트릭스 수준에서 TAXII 엔터프라이즈 ATT&CK를 활성화합니다. 수집 및 매트릭스 수준에서 TAXII 다른 모바일 ATT&CK 및 ICS ATT&CK 매트릭스를 비활성화합니다.
      3. TAXII 컬렉션 관련 목록에서 실행 옵션을 매일로 선택하면 오류가 발생하고 옵션이 기본적으로 요청 시로 설정됩니다. 이 오류는 서버의 MITRE 부하를 최적화하기 위해 매일 데이터 새로 고침 예약 MITRE-ATT&CK 이 제한되어 있기 때문에 발생합니다. 또한 MITRE ATT&CK 데이터는 1년에 두 번만 업데이트합니다.
      4. 컬렉션을 TAXII 활성화하지 않으면 컬렉션은 TAXII 새로 고쳐지지 않습니다.
      5. 각 컬렉션의 "실행" 빈도를 예약하여 기존 컬렉션에 대한 업데이트를 서버에서 검색 MITRE 할 수 있습니다.
      6. 리포지토리 데이터에 대한 사용자 지정(기술에 대한 맬웨어, 그룹, 완화 및 도구 객체)은 MITRE-ATT&CK 예약된 업데이트 중에 저장됩니다.
      7. MITRE 일부 객체가 해지됨 또는 사용되지 않음으로 식별되거나, 새 객체가 추가되거나, 기존 객체가 수정되는 지식베이스를 업데이트 MITRE-ATT&CK 합니다. MITRE 전술이나 기술을 해지하면 이러한 객체는 에서 해지된 ServiceNow AI Platform것으로 표시됩니다. 해지된 객체는 리포지토리에 보관되지만 에서 사용할 수 없습니다.ServiceNow AI Platform

    다음에 수행할 작업

    TAXII 프로파일 설정이 완료되면 MITRE-ATT&CK 리포지토리 데이터는 정기적으로 .ServiceNow AI Platform® 다음으로 이동하여 이 데이터를 볼 수 있습니다. MITRE ATT&CK 리포지토리 > 매트릭스MITRE ATT&CK 리포지토리 > 기술.