프레임워크 설정 MITRE-ATT&CK

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 조직의 위협 탐지를 위한 컬렉션을 설정할 MITRE-ATT&CK 수 있도록 프로필을 활성화 MITRE-ATT&CK 하고 예약된 작업을 설정합니다.

    시작하기 전에

    필요한 역할: sn_ti.admin

    이 태스크 정보

    구조화된 위협 정보 표현(Structured Threat Information Expression)STIX™은 사이버 위협 정보를 표준화되고 구조화된 방식으로 설명하기 위한 언어이다. STIX 데이터 및 신뢰할 수 있는 자동 표시기 정보 교환(TAXII™) 프로필을 사용하여 보안 팀은 공유된 사이버 위협 정보를 사용하여 회사 및 다른 소스에서 이전에 식별된 위협을 격리할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > 소스 > TAXII 프로파일.
      사용 가능한 TAXII 프로필이 표시됩니다.
    2. 기본 시스템과 함께 제공되는 MITRE ATT&CK 프로파일을 클릭하십시오.

      Threat Intelligence: MITRE ATT&CK 프로파일.
    3. 컬렉션을 활성화 TAXII 하려면 조직과 관련된 컬렉션(엔터프라이즈 ATT&CK, 모바일 ATT&CK 또는 ICS ATT&CK)에 대해 TAXII활성 옵션을 true로 설정합니다.
      TAXII 수집 설명
      엔터프라이즈 ATT&CK 악의적 사용자가 엔터프라이즈 네트워크 및 클라우드를 손상시키고 운영하기 위해 취하는 동작과 작업에 대해 설명합니다.
      주:
      Pre ATT&CK 매트릭스는 Enterprise 매트릭스에서 MITRE 더 이상 사용되지 않으며 병합됩니다.
      모바일 ATT&CK 악의적 사용자의 동작과 모바일 장치에 초점을 맞춘 작업에 대해 설명합니다.
      ICS ATT&CK 악의적 사용자가 ICS(산업 제어 시스템) 네트워크 내에서 작동하는 동안 수행하는 작업에 대해 설명합니다.
    4. 컬렉션을 주기적으로 새로 고치려면 조직에 맞게 실행 옵션을 설정합니다.
      기본적으로 이 옵션은 요청 시로 설정됩니다.
      주:
      1. 컬렉션은 Core 플러그인의 위협 인텔리전스 일부로 패키징됩니다. Threat Intelligence Support Common - 버전 12.0 이상 및 Threat Intelligence - 버전 12.0 이상을 설치하거나 업데이트하면 수집 데이터가 자동으로 채워집니다.
      2. 조직에서 TAXII 사용하려는 컬렉션에 대해서만 컬렉션을 활성화하고 다른 컬렉션은 비활성화합니다. 예를 들어 Enterprise ATT&CK 매트릭스를 사용하려는 경우 컬렉션 수준 및 매트릭스 수준에서 Enterprise ATT&CK를 TAXII 활성화 합니다 . 콜렉션 및 매트릭스 레벨에서 TAXII 다른 모바일 ATT&CK 및 ICS ATT&CK 매트릭스를 비활성화합니다.
      3. TAXII 컬렉션 관련 목록에서 실행 옵션을 매일로 선택하면 오류가 발생하고 옵션은 기본적으로 요청 시로 설정됩니다. 이 오류는 서버의 부하 MITRE 를 최적화하기 위해 매일 데이터 새로 고침을 MITRE-ATT&CK 예약하는 것이 제한되어 있기 때문에 발생합니다. MITRE 또한 ATT&CK 데이터는 일년에 두 번만 업데이트됩니다.
      4. 컬렉션을 활성화 TAXII 하지 않으면 컬렉션이 TAXII 새로 고쳐지지 않습니다.
      5. 기존 컬렉션에 대한 업데이트는 각 컬렉션에서 '실행' 빈도를 예약하여 서버에서 검색할 MITRE 수 있습니다.
      6. 리포지토리 데이터에 대한 MITRE-ATT&CK 사용자 지정(맬웨어, 그룹, 완화 및 기술에 대한 도구 개체)은 예약된 업데이트 중에 저장됩니다.
      7. MITRE 일부 객체가 MITRE-ATT&CK 해지 또는 사용되지 않음으로 식별되거나, 새 객체가 추가되거나, 기존 객체가 수정된 지식베이스를 업데이트합니다. 전술이나 기술을 취소하는 경우 MITRE 이러한 개체는 Now Platform. 해지된 객체는 저장소에 보관되지만 Now Platform.

    다음에 수행할 작업

    TAXII 프로파일 설정이 완료되면 MITRE-ATT&CK 저장소 데이터를 정기적으로 Now Platform®. 다음으로 이동하여 이 데이터를 볼 수 있습니다. MITRE ATT&CK 리포지토리 > 매트릭스MITRE ATT&CK 리포지토리 > 기술.