Criar e mapear regras de detecção

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Crie regras de detecção e mapeie-as em relação às táticas e técnicas. Com este mapeamento, você pode ver a cobertura das regras de detecção em sua organização.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: criar, gravar, excluir acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    O mapeamento de regras de detecção permite que sua organização veja quais regras de detecção estão disponíveis para identificar técnicas específicas.

    A finalidade primária do mapeamento é fornecer visibilidade se sua organização tiver as regras de detecção necessárias para identificar quando um alerta ou evento é acionado como resultado de um ataque de um adversário usando uma técnica específica.

    Por exemplo, veja a ilustração a seguir que mostra uma lista das regras de detecção mapeadas para várias técnicas. Você também pode exibir essas informações em o MITRE-ATT&CK navegador.

    Regras de detecção do MITRE ATT&CK.

    Se você não pretende usar as regras de extração automática de SIEM do sistema de base, habilite o acúmulo automático de MITRE-ATT&CK TTPs com base no mapeamento da regra de detecção. Você pode preencher o alerta ou a regra de evento que aciona o incidente de segurança no campo Nome da regra de alerta. Você também pode preencher o campo Nome da regra de alerta usando integração de SIEM, análise de e-mail, criação manual etc. Para obter mais informações, consulte Acumular MITRE-ATT&CK informações das regras de detecção.

    Nota:

    O recurso de regras de detecção foi atualizado para incluir o mapeamento de uma única tática para várias técnicas. Anteriormente, era possível mapear uma única tática com uma única técnica. Se você estiver atualizando o plug-in Inteligência contra ameaças da versão 12.0.4 para uma versão superior, revise os pontos a seguir antes de usar as regras de detecção no módulo MITRE-ATT&CK.

    • Você encontrará vários registros mesclados em um único registro se os campos - nome da regra, sensor de alerta, origem, categoria, subcategoria e MITRE-ATT&CK tática forem comuns.
    • Os registros antigos são marcados como verdadeiros na coluna obsoleta e falsos na coluna ativa.
    • Os novos registros mesclados estão disponíveis para uso e são marcados como falsos na coluna obsoleta e verdadeiros na coluna ativa.
    • Depois de verificar o upgrade e exibir que todas as suas regras de detecção foram migradas com sucesso, você pode excluir os registros antigos marcados como verdadeiros na coluna descontinuado.

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Administração do MITRE ATT&CK > Regras de detecção - Mapeamentos do MITRE ATT&CK.
    2. Use um dos seguintes métodos para criar sua regra de detecção:
      Método 1: criar regras de detecção manualmente.
      1. Clique em Novo e no formulário, preencha os campos.
        Tabela 1. Regras de detecção - MITRE-ATT&CK Mapeamento
        Campo Descrição
        Nome de Regra Nome da regra de detecção.
        MITRE-ATT&CK Tática Relevante MITRE-ATT&CK tática.
        MITRE-ATT&CK Técnicas Relevante MITRE-ATT&CK técnica. Você pode selecionar várias técnicas para uma única tática.
        Origem Origem do incidente de segurança, como e-mail, firewall, monitoramento de rede e assim por diante.
        Sensor de alerta Integração de segurança por meio da qual você ingere os dados de alerta ou evento, como Carbon Black, CrowdStrike, McAfee e assim por diante.
        Subcategoria Subcategoria que define melhor o problema.
        Categoria Categoria que identifica o tipo de problema de segurança.
        MITRE-ATT&CK Técnica Relevante MITRE-ATT&CK técnica. Você pode selecionar várias técnicas para uma única tática.
        Contagem de incidentes de segurança O número de incidentes de segurança aos quais as técnicas são anexadas. Essa contagem aparece quando você habilita o acúmulo de MITRE-ATT&CK informações automaticamente de regras de alerta para incidentes de segurança.
        Preterido O mapeamento da regra de detecção está obsoleto.
        Ativo Opção para especificar se a regra de detecção está ativa e implantada em seu ambiente.

        Exemplo de regras de detecção.

      2. Clique em Enviar.
      Método 2: importar e criar regras de detecção.
      1. Clique com o botão direito do mouse no cabeçalho da coluna Nome da regra.
      2. Na lista, clique em Importar.
      3. Clique em Criar modelo do Excel.
      4. Clique em Download após a conclusão da exportação. Um modelo do Excel com o nome de arquivo sn_ti_alert_rules_mitre_attack_technique_mapping é baixado para o seu computador.

        Na ilustração a seguir, você vê como exportar o modelo do Excel, preencher os detalhes na planilha, carregar o arquivo, visualizar os campos e importá-los de volta para o Now Platform.

        Modelo de importação de download do MITRE.
      5. Abra a planilha, selecione a segunda guia da folha e revise o que você inseriu. No formulário, preencha os campos e salve o arquivo.
        Tabela 2. Importar modelo
        Campo Descrição
        Nome de Regra Nome da regra de detecção.
        Ativo Opção para especificar se a regra de detecção está ativa e implantada em seu ambiente.
        Sensor de alerta Integração de segurança por meio da qual você ingere os dados de alerta ou evento, como Carbon Black, CrowdStrike, McAfee e assim por diante.
        Categoria Categoria que identifica o tipo de problema de segurança.
        Comentários Descrição sobre a regra de detecção.
        Preterido O mapeamento da regra de detecção está obsoleto.
        MITRE-ATT&CK IDs de técnica MITRE-ATT&CK ID de técnica, como T1546.008, para Recursos de acessibilidade.
        MITRE-ATT&CK ID da tática MITRE-ATT&CK ID de tática, como TA0003, para persistência.
        Contagem de incidentes de segurança O número de incidentes de segurança aos quais as técnicas são anexadas. Esta contagem aparece quando você habilita o acúmulo de MITRE-ATT&CK informações automaticamente de regras de alerta para incidentes de segurança e a regra de detecção está ativa.
        Origem Origem do incidente de segurança, como e-mail, firewall, monitoramento de rede e assim por diante.
        Subcategoria Subcategoria que define melhor o problema.
        MITRE-ATT&CK Tática Relevante MITRE-ATT&CK tática.
        MITRE-ATT&CK Técnica Relevante MITRE-ATT&CK técnica.

        A ilustração a seguir mostra o modelo de planilha. Os campos obrigatórios são realçados em vermelho - Nome da regra, MITRE-ATT&CK ID da tática e MITRE-ATT&CK ID da técnica.

        Atualize os detalhes de mapeamento no modelo de planilha.

      6. Clique em Escolher arquivo e selecione a planilha no seu computador.
      7. Clique em Carregar.
      8. Clique em Visualizar dados importados.
      9. Visualize os mapeamentos e clique em Concluir importação.

        A ilustração a seguir mostra como carregar a planilha, visualizar os dados, revisar os erros e concluir o processo de importação do mapeamento da regra de detecção.

        Carregue a planilha para concluir o mapeamento da regra de detecção.