Acumular MITRE-ATT&CK informações das regras de detecção

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Habilite o acúmulo de MITRE-ATT&CK informações das regras de detecção para os incidentes de segurança para obter uma melhor análise de ameaças e incidentes de segurança.

    Antes de Iniciar

    Função necessária: nenhuma

    Certifique-se de ter realizado o seguinte:
    • Habilite a propriedade Acumular informações do MITRE ATT&ACK automaticamente das regras de alerta para a propriedade de incidentes de segurança no módulo Propriedades. Por padrão, esta opção está desabilitada. Para obter mais informações, consulte Revisão das propriedades do sistema MITRE-ATT&CK.
    • Execute o mapeamento de regras de detecção para MITRE-ATT&CK TTPs no módulo Mapeamento de regras de detecção – MITRE ATT&CK TTP. O nome da regra de detecção deve corresponder ao nome da regra de alerta que aciona o incidente de segurança. Para obter mais informações, consulte Criar e mapear regras de detecção.

    Por Que e Quando Desempenhar Esta Tarefa

    Se você não pretende usar as regras de extração automática de SIEM do sistema de base, habilite o acúmulo automático de MITRE-ATT&CK TTPs com base no mapeamento da regra de detecção. Você pode preencher o alerta ou a regra de evento que aciona o incidente de segurança no campo Nome da regra de alerta. Você também pode preencher o campo Nome da regra de alerta usando integração de SIEM, análise de e-mail, criação manual e assim por diante.

    Procedimento

    1. Navegar até Administração do MITRE ATT&CK > Propriedades.
    2. Habilite a propriedade Acumular informações do MITRE ATT&ACK automaticamente das regras de alerta para a propriedade de incidentes de segurança e clique em Salvar.
      Por padrão, esta opção está desabilitada.
    3. Você precisa preencher o campo Nome da regra de alerta do incidente de segurança com as regras de alerta necessárias.
      Nota:
      Certifique-se de adicionar o nome exato da regra de alerta. Para adicionar várias regras, você precisa adicionar as regras usando um separador de vírgulas.
    4. Clique com o botão direito do mouse no formulário e clique em Salvar.
      Se o valor do nome da regra de alerta no incidente de segurança corresponder a um registro no módulo Regra de detecção - Mapeamento de TTP do MITRE ATT&CK, as técnicas e táticas correspondentes associadas à regra de alerta serão vinculadas ao incidente de segurança automaticamente.

      Esta ilustração mostra como acumular informações de MITRE das regras de detecção para um incidente de segurança.

    5. Abra o incidente de segurança, selecione o cartão MITRE ATT&CK e valide se as técnicas foram acumuladas.
    6. Habilite a opção Mostrar origem das técnicas para exibir a origem das técnicas.
      A origem das técnicas deve ser Regra de detecção.