탐지 규칙의 롤업 MITRE-ATT&CK 정보

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 더 나은 보안 인시던트 및 위협 분석을 위해 탐지 규칙에서 보안 인시던트로 정보를 롤업 MITRE-ATT&CK 할 수 있습니다.

    시작하기 전에

    필요한 역할: 없음.

    다음을 수행했는지 확인하십시오.
    • 속성 모듈의 경보 규칙에서 보안 인시던트 속성으로 MITRE ATT&ACK 정보를 자동으로 롤업할 수 있습니다. 기본적으로 이 옵션은 비활성화되어 있습니다. 자세한 정보는 MITRE-ATT&CK 시스템 특성 검토의 내용을 참조하십시오.
    • 탐지 규칙 - MITRE ATT&CK TTP 매핑 모듈에서 TTPMITRE-ATT&CK 탐지 규칙 매핑을 수행합니다. 탐지 규칙 이름은 보안 인시던트를 트리거하는 경보 규칙 이름과 일치해야 합니다. 자세한 내용은 탐지 규칙 생성 및 매핑 문서를 참조하십시오.

    이 태스크 정보

    기본 시스템 SIEM 자동 추출 규칙을 사용하지 않으려면 탐지 규칙 매핑을 기반으로 TTP의 MITRE-ATT&CK 자동 롤업을 활성화합니다. 경보 규칙 이름 필드에 보안 인시던트를 트리거하는 경보 또는 이벤트 규칙을 채울 수 있습니다. SIEM 통합, 이메일 구문 분석, 수동 생성 등을 사용하여 경보 규칙 이름 필드를 채울 수도 있습니다.

    프로시저

    1. 다음으로 이동 MITRE ATT&CK 관리 > 속성레이블이 표시됩니다.
    2. 경보 규칙에서 보안 인시던트 속성으로 MITRE ATT&ACK 정보를 자동으로 롤업하고 저장을 클릭합니다.
      기본적으로 이 옵션은 비활성화되어 있습니다.
    3. 보안 인시던트의 경고 규칙 이름 필드를 필요한 경고 규칙으로 채워야 합니다.
      주:
      정확한 경보 규칙 이름을 추가해야 합니다. 여러 규칙을 추가하려면 쉼표 구분 기호를 사용하여 규칙을 추가해야 합니다.
    4. 양식을 마우스 오른쪽 단추로 클릭하고 저장을 클릭합니다.
      보안 인시던트의 경보 규칙 이름 값이 탐지 규칙 - MITRE ATT&CK TTP 매핑 모듈의 기록과 일치하면 경보 규칙과 관련된 해당 기술 및 전술이 보안 인시던트에 자동으로 연결됩니다.

      이 그림에서는 검색 규칙에서 보안 인시던트로 MITRE 정보를 롤업하는 방법을 보여 줍니다.

    5. 보안 인시던트를 열고 MITRE ATT&CK 카드를 선택한 다음 기술이 롤업되었는지 확인합니다.
    6. 기술의 출처를 보려면 기술의 출처 표시 옵션을 활성화합니다.
      기술의 출처는 탐지 규칙이어야 합니다.