옵저버블/객체에 대한 MITRE ATT&CK 기술 보기

• 데이터 소스에 대한 추출 규칙(위협 조회는 적용되지 않음)은 엔터티(예: 옵저버블 소스 또는 객체 소스) 소스 기록이 생성될 때마다 처리됩니다.
• 이 규칙은 엔터티 소스 기록 내의 모든 필드에 적용할 수 있습니다(날짜, 번호 필드, 사용 범주 및 공격 단계 제외).
• 추출된 MITRE 기술은 해당 엔터티 기록에 연결되며 관련 기록 탭의 MITRE 기술 관련 목록에서 해당 기록을 볼 수 있습니다.
  주:

  먼저 MITRE 기술을 추출하여 엔터티 소스 기록에 연결한 다음, 기술 연결이 중복 제거되고 상위 엔터티 기록으로 집계됩니다.

옵저버블 및 객체에 대한 기술을 보려면 다음을 수행합니다.

1. 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터 > 위협 인텔 라이브러리 > 옵저버블
2. 옵저버블 기록을 선택합니다.
3. 관련 기록 탭으로 이동합니다.
4. MITRE 기술 섹션을 선택하여 추출한 MITRE ATT&CK 기술을 봅니다.
5. MITRE 기술 연결 기록을 보려면 MITRE 기술 ID를 클릭합니다. 소스 열에는 MITRE 추출이 수행되는 엔터티 소스 기록과 연결된 모든 소스(하나 이상의 소스가 있는 경우 쉼표로 구분)가 표시됩니다.
   주:

   여러 소스에서 동일한 방법 및 기술 ID를 추출하는 경우 하나의 방법 및 기술 연결 기록만 표시되고 소스 열에는 추출된 모든 소스가 표시됩니다.
6. 문제 해결을 위해 기술 소스 관계로 이동하여 전술 및 기술 연결 추출을 담당한 MITRE 추출 규칙을 볼 수 있습니다.
   주:

   추출 규칙 열이 표시되지 않는 경우 목록 작업 아이콘을 사용하여 추출 규칙 열을 추가해야 합니다.

위협 조회 또는 옵저버블 보강에 대한 추출 규칙은 위협 조회 옵저버블 보강 결과 또는 옵저버블 보강 기록이 생성될 때마다 처리되며, 위협 조회 실행 또는 옵저버블 보강 작업이 트리거되고 위협 조회 결과 또는 옵저버블 보강 기록에 있는 원시 데이터(raw_data 필드) 페이로드에서만 추출이 수행됩니다.

RSS 피드에 대한 MITRE ATT&CK 기법 보기

• RSS 피드 기록이 생성되거나 업데이트될 때마다 MITRE ATT&CK 기술 추출 규칙이 처리됩니다.
• 이 규칙은 RSS 피드 기록 내의 모든 필드(날짜, 숫자 필드 및 공격 단계 제외)에 적용할 수 있습니다.
• 추출된 MITRE 기술은 해당 RSS 피드 기록에 연결되며 관련 기록 섹션의 MITRE 기술 관련 기록 목록에서 이러한 기록을 볼 수 있습니다.

1. 다음으로 이동 작업 공간 > 위협 인텔리전스 보안 센터 > 위협 인텔 라이브러리 > RSS 피드 > 모든 RSS 피드
2. RSS 피드 기록을 선택합니다.
3. 관련 기록 탭으로 이동합니다.
4. MITRE 기술을 선택하여 추출된 MITRE ATT&CK 기술을 봅니다.
5. MITRE 기술 연결 기록을 보려면 MITRE 기술 ID를 클릭합니다.
6. 문제 해결을 위해 전술 및 기술 연결 추출을 담당한 MITRE 추출 규칙을 볼 수 있습니다.