Informations de MITRE-ATT&CK déploiement à partir des règles de détection

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Activez le déploiement des MITRE-ATT&CK informations à partir des règles de détection vers les incidents de sécurité pour une meilleure analyse des incidents de sécurité et des menaces.

    Avant de commencer

    Rôle requis : aucun.

    Assurez-vous d’avoir :
    • Activez le déploiement automatique des informations MITRE ATT&ACK à partir des règles d’alerte vers la propriété d’incidents de sécurité dans le module Propriétés . Par défaut, cette option est désactivée. Pour plus d’informations, reportez-vous à la section Examiner les propriétés système MITRE-ATT&CK.
    • Effectuez le mappage des règles de détection aux MITRE-ATT&CK TTP dans le module Règles de détection : module de mappage TTP MITRE ATT&CK . Le nom de la règle de détection doit correspondre au nom de la règle d’alerte qui déclenche l’incident de sécurité. Pour plus d'informations, consultez Créer et mapper des règles de détection.

    Pourquoi et quand exécuter cette tâche

    Si vous n’avez pas l’intention d’utiliser les règles d’extraction automatique du SIEM du système de base, activez le déploiement automatique des TTP en fonction du mappage de la règle de MITRE-ATT&CK détection. Vous pouvez renseigner l’alerte ou la règle d’événement qui déclenche l’incident de sécurité dans le champ Nom de la règle d’alerte . Vous pouvez également renseigner le champ Nom de la règle d’alerte à l’aide de l’intégration SIEM, de l’analyse des e-mails, de la création manuelle, etc.

    Procédure

    1. Accédez à la Administration MITRE ATT&CK > Propriétés.
    2. Activez le déploiement automatique des informations MITRE ATT&ACK à partir des règles d’alerte vers la propriété incidents de sécurité, puis cliquez sur Enregistrer.
      Par défaut, cette option est désactivée.
    3. Vous devez renseigner le champ Nom de la règle d’alerte de l’incident de sécurité avec les règles d’alerte requises.
      Remarque :
      Veillez à ajouter le nom exact de la règle d’alerte . Pour ajouter plusieurs règles, vous devez les ajouter à l’aide d’un séparateur de virgules.
    4. Cliquez avec le bouton droit sur le formulaire, puis cliquez sur Enregistrer.
      Si la valeur Nom de la règle d’alerte dans l’incident de sécurité correspond à un enregistrement dans le module Règle de détection - MITRE ATT&CK TTP Mapping, les techniques et tactiques correspondantes associées à la règle d’alerte sont automatiquement liées à l’incident de sécurité.

      Cette illustration montre comment déployer des informations MITRE à partir des règles de détection vers un incident de sécurité.

    5. Ouvrez l’incident de sécurité, sélectionnez la carte MITRE ATT&CK et validez si les techniques sont déployées.
    6. Activez l’option Afficher l’origine des techniques pour afficher l’origine des techniques.
      L’origine des techniques doit être la règle de détection.