Agregar MITRE-ATT&CK informações usando MISP resultados de aprimoramento

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

1 min. de leitura

Acumule os resultados de aprimoramento do MISP manualmente se você não tiver habilitado o acúmulo automático de MISP informações.

Antes de Iniciar

Função necessária: sn_si.analyst

Por Que e Quando Desempenhar Esta Tarefa

Use as regras de extração automática do sistema de base para importar as informações MITRE-ATT&CKMISP da integração []. O MISP integration for Security Operations apresenta duas regras de extração da técnica do sistema base MITRE-ATT&CK para MISP - MISP galáxias e marcadores MISP. Para obter mais informações sobre regras de extração automática em MITRE-ATT&CK, consulte Regras de técnica de extração automática para importar informações do MITRE-ATT&CK.

Se você habilitou acúmulo automático de MITRE-ATT&CK informações usando MISP resultados de aprimoramento a um incidente de segurança, as informações são acumuladas automaticamente. Se você não habilitou o acúmulo automático, poderá fazer esta tarefa manualmente.

Procedimento

Navegar até Todos > Incidentes de segurança > Mostrar Todos os Incidentes.
Selecione o incidente de segurança que você deseja aprimorar com as informações de MITRE-ATT&CK.
Clique em Mostrar todas as listas relacionadas e na guia Resultados de aprimoramento do MISP.
Selecione o observável e, no menu Ações, clique em Agregar informações do MITRE ATT&CK para SI.
Você pode selecionar vários observáveis e acumular as informações.
Para confirmar as mudanças, clique em Recarregar.
O exemplo a seguir mostra como selecionar um observável e acumular os resultados de aprimoramento MISP para o incidente de segurança.
Figura 1. Acumular informações do MITRE em um incidente de segurança

Resultado

Você pode exibir o cartão MITRE-ATT&CK para confirmar que os resultados de aprimoramento do MISP foram acumulados para o incidente de segurança.