Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visualização das táticas e técnicas do MITRE detectadas em um prazo específico

Se você quiser filtrar pelas táticas de ATT&CK do MITRE, você deve primeiro mapear suas regras para as táticas e técnicas do MITRE. Para obter mais informações, veja editar mapeamentos do MITRE em uma regra ou bloco de construção.

Veja quais táticas e técnicas de ATT&CK do MITRE foram detectadas em seu ambiente com base nas ofensas que foram atualizadas em um prazo específico. O QRadar Use Case Manager exibe uma lista das ofensas e suas regras relacionadas que foram encontradas dentro desse prazo, juntamente com as táticas e técnicas que são mapeadas com essas regras.

Quanto mais filtros você aplicar às regras, mais afinada será a lista de resultados que você obtém. O QRadar Use Case Manager usa a condição OR dentro das opções de um grupo de filtro e usa a condição E em vários grupos de filtros. Qualquer coluna em que você possa filtrar também pode ser adicionada ao relatório de regra por meio do recurso de seleção da coluna (ícone de equipamento).

  1. Na página Use Case Explorer, clique em Ações ATT&CK >Detectadas em prazo.
  2. Selecione um modelo de conteúdo.

    Se você não selecionar um modelo, é usado o modelo padrão (táticas e técnicas de ATT&CK detectadas em delitos nas últimas 24 horas).

  3. Se você quiser alterar o prazo, no filtro Ataques, selecione um prazo ou um intervalo específico para filtrar as ofensas.
  4. Selecione parâmetros para excluir ofensas dos resultados, como ofensas ocultas ou fechadas. Os delitos marcados para o acompanhamento são sinalizados para uma investigação mais aprofundada. Você pode ter ofensas que deseja reter, independentemente do período de retenção; essas ofensas são protegidas para evitar que sejam removidas do QRadar após o período de retenção. Os ataques inativos são removidos da visualização para que os relatórios não estejam bagunçados.

    Filtrar as ofensas que estão fechadas. Por exemplo, você pode excluir as regras que geraram delitos que foram fechados como falsos positivos. Regras com muitos falsos positivos provavelmente precisam ser afinadas. As ofensas que são fechadas como um não-problema geralmente são consideradas não essenciais para a sua organização. Você pode não querer incluir essas ofensas quando revisar as táticas e técnicas de MITRE detectadas.

  5. Selecione entre os filtros na seção ATT&CK do MITRE. As seguintes opções estão disponíveis para filtrar:

    Táticas — Selecione táticas da lista. Por exemplo, uma tática de acesso inicial é usada por adversários que estão tentando entrar em sua rede.

    Técnica — Procure técnicas e suas sub-técnicas ou selecione-as na lista. As técnicas são pré-filtradas para combinar com a tática selecionada. Por exemplo, uma técnica de Descoberta de Conta ocorre quando os adversários tentam obter uma lista de seu sistema local ou contas de domínio.

    Sub-técnicas são identificadas por um ponto no ID, como "Gerenciador de contas de segurança T1003.002". Sub-técnicas fornecem uma descrição mais específica do comportamento que um adversário usa para atingir sua meta. Por exemplo, um adversário pode descartar credenciais acessando os segredos da Autoridade de Segurança Local (LSA).

    Mapeamento da confiança — Indica mapeamentos que são atribuídos a um nível específico de confiança para a cobertura de regras.

    Mapeamento habilitado — Indica para cada regra se o mapeamento entre a tática ou a técnica e as regras está ativado. Mapeamentos que não estão habilitados não são adicionados ao mapa de calor da cobertura técnica.

  6. Para atualizar o relatório de regras com seus filtros, clique em Aplicar filtros.

    O QRadar Use Case Manager exibe uma lista das ofensas e suas regras relacionadas que foram encontradas dentro desse prazo. Se você clicar em uma ofensa para investigá-la ainda mais, e o fluxo de trabalho do analista QRadar estiver instalado no Console QRadar, o ataque será aberto na visão do fluxo de trabalho. Para obter mais informações, veja o fluxo de trabalho de analistas do QRadar.

  7. Para alterar a rotulagem no gráfico, clique na opção Mostrar na barra de menu do relatório e selecione entre nomes, IDs técnicos ou nomes de técnicas e IDs. Por padrão, os nomes da técnica são exibidos.
  8. Role a visualização do mapa de calor para ver as diferentes técnicas que são afetadas por essas regras. O número no cabeçalho do gráfico indica o número de regras mapeadas por tática. (Esse número pode ser maior do que a soma do número de mapeamentos de suas técnicas porque os mapeamentos são feitos diretamente à tática, não à técnica.)
  9. Para ver as sub-técnicas para uma técnica MITRE, clique no ícone de expansão para estender a coluna. Sub-técnicas fornecem uma descrição mais específica do comportamento que um adversário usa para atingir sua meta. Por exemplo, um adversário pode descartar credenciais acessando os segredos da Autoridade de Segurança Local (LSA).
  10. Para ver apenas as sub-técnicas para cada tática e técnica, clique no ícone de pilha na barra de menu do relatório.
  11. Para ver quais técnicas do MITRE estão sendo usadas por grupos adversários e software, selecione os filtros apropriados dos grupos Highlight e listas de software Highlight. Grupos relevantes são destacados no mapa de calor por barras laterais rosa, e software relevante é destacado por barras laterais roxas.
  12. Para ver apenas as técnicas selecionadas no filtro, segure a chave de controle (no Windows) ou a chave de comando (no Mac) do teclado e selecione as técnicas relevantes no mapa de calor. Em seguida, selecione as técnicas show na opção de filtro na barra de menu do relatório. Todos os outros filtros estão ocultos no mapa de calor.
    Ponta:

    Se você não ver nenhum filtro de técnica no mapa de calor, adicione técnicas na seção MITRE ATT&CK do painel do filtro ou selecione técnicas no mapa.
  13. Para alterar as plataformas filtradas no mapa de calor, clique em Filtro por plataforma e altere a seleção em suas preferências de usuário.

    Por padrão, o mapa de calor mostra táticas, técnicas e sub-técnicas de três plataformas: Linux, macOS e Windows.

  14. Para trabalhar com táticas, técnicas e sub-técnicas de outras plataformas, clique em Filtro por plataforma e altere a seleção em suas preferências de usuário. A mudança na plataforma também afeta o conteúdo dos filtros MITRE na página use case explorer e na página de edição de mapeamentos ATT&CK do MITRE.
  15. Para exportar o display atual do gráfico como uma imagem PNG, clique no ícone de exportação. Em seguida, você pode compartilhar a imagem com colegas ou executivos que não têm acesso ao QRadar Use Case Manager.
  16. Para expandir o painel de visualização até a largura da sua tela, clique no ícone maximizador na barra de menu do painel. Faça zoom ou veja a visualização do tamanho que você deseja. Qualquer filtragem que você aplicar no painel expandido é mantida quando você retorna à página Use Case Explorer.
    Nota:

    O recurso de zoom não é suportado no Mozilla Firefox. Use o controle do navegador para ampliar e ampliar.

Documentação relacionada