Déployer des informations à l’aide MISP des résultats d’enrichissement MITRE-ATT&CK

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Cumulez manuellement les résultats de l’enrichissement MISP si vous n’avez pas activé le déploiement automatique des MISP informations.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Utilisez les règles d’extraction automatique du système de base pour importer les MITRE-ATT&CK informations à partir de l’intégration MISP . Il introduit deux règles d’extraction MISP integration for Security Operations technique du système MITRE-ATT&CK de base pour MISPMISP les galaxies et MISP les balises. Pour plus d’informations sur les règles d’extraction automatique dans MITRE-ATT&CK, consultez Règles de technique d’extraction automatique pour l’importation d’informations MITRE-ATT&CK.

    Si vous avez activé Déploiement automatique de MITRE-ATT&CK informations à l’aide de MISP résultats de l’enrichissement Pour un incident de sécurité, les informations sont automatiquement répercutées. Si vous n’avez pas activé le cumul automatique, vous pouvez effectuer cette tâche manuellement.

    Procédure

    1. Accédez à la Tous > Incidents de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez enrichir avec les MITRE-ATT&CK informations.
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Résultats de l’enrichissement MISP .
    4. Sélectionnez l’observable et, dans le menu Actions, cliquez sur Déployer les informations MITRE ATT&CK sur SI.
      Vous pouvez sélectionner plusieurs observables, puis répartir les informations.
    5. Pour confirmer les modifications, cliquez sur Recharger.
      L’exemple suivant montre comment sélectionner un observable et déployer les résultats de l’enrichissement MISP sur l’incident de sécurité.
      Figure 1. Déployer des informations MITRE sur un incident de sécurité
      Déployer les informations MITRE dans un incident de sécurité.

    Résultats

    Vous pouvez afficher la MITRE-ATT&CK carte pour confirmer que les résultats de l’enrichissement MISP ont été déployés jusqu’à l’incident de sécurité.