Verknüpfen MITRE-ATT&CK Sie Informationen mit Security Incidents

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Ordnen Sie die MITRE-ATT&CK -Taktiken und -Techniken dem Security Incident zu, um die Analyse von Security Incidents und Bedrohungen zu verbessern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Fügen Sie dem Security Incident die Informationen zu Taktiken und Techniken MITRE-ATT&CK hinzu, damit Sie Ihre Security Incident- und Bedrohungsinformationen für eine bessere Analyse korrelieren können. Beispielsweise kann Ihre Organisation Informationen im Zusammenhang mit Taktiken, Techniken und Verfahren (TTP) von Ihren Drittparteiquellen erhalten, z. B. Threat Intelligence -Berichte oder andere Quellen außerhalb der Security Incident Response. Fügen Sie diese Informationen dann wieder zu SIR hinzu, um die Korrelation und Bedrohungsanalyse zu verbessern.

    Sie können die MITRE-ATT&CK -Informationen automatisch aus den Ergebnissen der automatischen Extraktion der Bedrohungssuche, aus erkennbaren Elementen oder aus einem untergeordneten Security Incident zu einem Security Incident zusammenfassen. Aktivieren Sie für ein automatisches Rollup zu Security Incidents die Systemeigenschaft. Alternativ können Sie die Informationen für jede einzelne Bedrohungssuche oder jedes erkennbare Element manuellzusammenfassen.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie mit den MITRE-ATT&CK -Informationen anreichern möchten.
    3. Klicken Sie auf den zugehörigen Link MITRE ATT&CK-Technik zuordnen.
      Der Bereich MITRE ATT&CK-Technik zuordnen wird angezeigt.

      Diese Abbildung zeigt, wie Sie zur zugehörigen Liste navigieren und nach Technik zum Zuordnen MITRE-ATT&CK suchen, die Quelle Enterprise ATT&CK überprüfen, eine Taktik Auswirkung hinzufügen und eine Technik System Herunterfahren/Neustart hinzufügen.

    4. Wählen Sie Quelleaus.
      Hinweis:
      Nur die Sammlungen und Matrizen, die aktiviert wurden, werden in der Quellliste angezeigt.
      Die Taktiken und Techniken, die der Quelle zugeordnet sind, stehen zur Auswahl. Sie können auch mehrere Quellen zuordnen.
    5. Wählen Sie die Taktik und die Techniken aus.
    6. Wahlweise: Überprüfen Sie die Informationen basierend auf der Relevanz für den Security Incident, und gehen Sie wie folgt vor:
      • Um die Zuordnung vollständig zu entfernen, klicken Sie auf das Papierkorbsymbol. Durch Klicken auf dieses Symbol werden die Quelle und die zugehörigen Taktiken und Techniken gelöscht.
      • Um eine Taktik zu entfernen, klicken Sie auf das Minuszeichen neben der Taktik.
      • Um eine Technik zu entfernen, klicken Sie auf das x-Symbol neben der Technik.
    7. Klicken Sie auf Speichern.

    Ergebnisse

    Die Informationen MITRE-ATT&CK sind dem Security Incident zugeordnet. Sie können jetzt die zugehörigen Informationen in der MITRE ATT&CK-Karteanzeigen.

    Ordnen MITRE-ATT&CK Sie Informationen geschlossenen Security Incidents zu

    Sie können jetzt MITRE-ATT&CK Taktiken und Techniken den geschlossenen Security Incidents zuordnen, um die Analyse von Security Incidents und Bedrohungen zu verbessern.

    Karte MITRE-ATT&CK verwenden, um zugehörige Informationen in einem Security Incident anzuzeigen

    Sie können die Karte MITRE-ATT&CK verwenden, um die MITRE-ATT&CK zugehörigen Informationen in einem Security Incident anzuzeigen.

    Nachdem für die Informationen ein Rollup aus einer Bedrohungssuche, einem erkennbaren Element oder einer SIEM-Integration durchgeführt wurde, werden sie dem Security Incident hinzugefügt. Anschließend werden die zusammengefassten Informationen auf der Karte MITRE-ATT&CK angezeigt. Die MITRE ATT&CK-Karte bietet zwei Ansichten:

    • Navigatoransicht: Diese Ansicht, die dem MITRE-ATT&CK -Navigator ähnelt, zeigt alle Techniken, die manuell hinzugefügt oder aus den Tabellen für erkennbare Elemente oder Bedrohungssuchen zusammengefasst wurden. Ursprung der Techniken anzeigen zeigt die Quelle der Technik an, wenn für sie manuell oder über eine Quelle ein Rollup durchgeführt wurde. ID anzeigen zeigt die Technik-ID an.

      Die folgende Abbildung zeigt, wie Sie zur Navigatoransicht der MITRE ATT&CK-Karte navigieren. Durch Klicken auf einen der verfügbaren Links werden die Informationen im Modul Threat Intelligence geöffnet.

    • Listenansicht: In dieser Ansicht werden die Daten in einem Listen- oder Tabellenformat angezeigt. In dieser Ansicht können Sie alle Daten anzeigen, die auf verschiedene Tabellen und Gruppen verteilt sind.

      Die folgende Abbildung zeigt, wie Sie zur Listenansicht der MITRE ATT&CK-Karte navigieren. Durch Klicken auf einen der verfügbaren Links werden die Informationen im Modul Threat Intelligence geöffnet.