Método de extração da técnica do MITRE ATT&CK

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • O método de extração de técnica do MITRE ATT&CK descreve como os métodos de extração são realizados e as técnicas associadas são verificadas.

    1. As regras de extração para fontes de dados (pesquisas de ameaças não são aplicáveis) são processadas sempre que um registro de origem de entidade (por exemplo, origem de observável ou origem de objeto) é criado.
    2. As regras são aplicáveis a todos os campos no registro de origem da entidade (exceto campos de data, número e Categoria de uso e Fases de ataque).
    3. As técnicas de MITRE extraídas são associadas ao registro da entidade correspondente e você exibe os registros na lista relacionada de técnicas de MITRE na guia Registros relacionados.
      Nota:
      As técnicas MITRE são extraídas e associadas ao registro de origem da entidade, em seguida, as associações de técnicas são desduplicadas e agregadas ao registro da entidade primária.

    Exibir técnicas do MITRE

    1. Navegar até Biblioteca de informações sobre ameaçasqualquer registro de entidade (observável ou objeto) usando o .
    2. Clique na guia Registros relacionados.
    3. Selecione Técnicas do MITRE e exiba as técnicas associadas que foram extraídas.
    4. Clique no ID da técnica do MITRE para exibir e acessar o registro de associação da técnica do MITRE. A coluna Origens exibe todas as origens (também separadas por uma vírgula se houver uma ou mais origens) que estão associadas ao registro de origem da entidade no qual a extração do MITRE é realizada.
      Nota:
      Se os mesmos IDs de tática e técnica forem extraídos de várias origens, somente um registro de associação de tática e técnica será exibido e a coluna Origens exibirá todas as origens extraídas.
    5. Para solução de problemas, você pode exibir a regra de extração MITRE que foi responsável pela extração das associações de tática e técnica navegando até as Relações de origem da técnica.
      Nota:
      Certifique-se de adicionar a coluna Regra de extração usando o ícone Ações da lista, caso não veja a coluna Regra de extração.
    As regras de extração para pesquisas de ameaças são processadas sempre que o registro de resultado da pesquisa de ameaças é criado para qualquer observável para o qual a ação Executar pesquisa de ameaças é acionada e a extração é realizada somente na carga de dados brutos (campo RAW_Data) que está disponível no resultado da pesquisa de ameaças registro.
    Nota:
    • Se não houver ID de tática presente na origem da entidade extraída (observável ou objeto) ou no resultado da pesquisa de ameaças para qualquer técnica do MITRE ATT&CK, as associações de técnica serão criadas para todas as táticas associadas à técnica correspondente no repositório do MITRE.
    • Se houver qualquer ID de tática presente na origem da entidade extraída (observável ou objeto) ou no resultado da pesquisa de ameaças para qualquer técnica do MITRE ATT&CK, as associações de técnica serão criadas especificamente somente para todas as táticas extraídas que estão associadas à técnica correspondente no repositório do MITRE.