탐지 규칙 생성 및 매핑

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 탐지 규칙을 생성하고 전술 및 기술에 대해 매핑합니다. 이 매핑을 사용하면 조직의 탐지 규칙에 대한 범위를 볼 수 있습니다.

    시작하기 전에

    필요한 역할:
    • sn_ti.admin, sn_si.admin: 생성, 쓰기, 삭제 권한
    • sn_ti.read: 읽기 권한

    이 태스크 정보

    탐지 규칙 매핑을 사용하면 조직에서 특정 기술을 식별하는 데 사용할 수 있는 탐지 규칙을 확인할 수 있습니다.

    매핑의 기본 목적은 특정 기술을 사용하는 악의적 사용자의 공격으로 인해 경보 또는 이벤트가 트리거되는 시기를 식별하는 데 필요한 탐지 규칙이 조직에 있는 경우 가시성을 제공하는 것입니다.

    예를 들어 다양한 기술에 매핑된 탐지 규칙 목록을 보여 주는 다음 그림을 보십시오. 다음에서도 이 정보를 볼 수 있습니다. the MITRE-ATT&CK 탐색기레이블이 표시됩니다.

    MITRE ATT&CK 탐지 규칙입니다.

    기본 시스템 SIEM 자동 추출 규칙을 사용하지 않으려면 탐지 규칙 매핑을 기반으로 TTP의 MITRE-ATT&CK 자동 롤업을 활성화합니다. 경보 규칙 이름 필드에 보안 인시던트를 트리거하는 경보 또는 이벤트 규칙을 채울 수 있습니다. SIEM 통합, 이메일 구문 분석, 수동 생성 등을 사용하여 경보 규칙 이름 필드를 채울 수도 있습니다. 자세한 내용은 탐지 규칙의 롤업 MITRE-ATT&CK 정보 문서를 참조하십시오.

    주:

    탐지 규칙 기능이 업데이트되어 단일 전술을 여러 기술에 매핑할 수 있습니다. 이전에는 단일 전술을 단일 기술로 매핑할 수 있었습니다. 플러그인을 위협 인텔리전스 버전 12.0.4에서 상위 버전으로 업그레이드하는 경우 모듈의 MITRE-ATT&CK 탐지 규칙을 사용하기 전에 다음 사항을 검토하십시오.

    • 필드 - 규칙 이름, 경보 센서, 소스, 범주, 하위 범주 및 MITRE-ATT&CK 전술이 공통인 경우 단일 기록에 병합된 여러 기록을 찾을 수 있습니다.
    • 이전 기록은 사용되지 않는 열에서는 true로, 활성 열에서는 false로 표시됩니다.
    • 병합된 새 레코드를 사용할 수 있으며 사용되지 않는 열에서는 false로, 활성 열에서는 true로 표시됩니다.
    • 업그레이드를 확인하고 모든 탐지 규칙이 성공적으로 마이그레이션된 것을 확인한 후 사용 중단됨 열에서 true로 표시된 이전 레코드를 삭제할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 관리 > 탐지 규칙 - MITRE ATT&CK 매핑레이블이 표시됩니다.
    2. 다음 방법 중 하나를 사용하여 탐지 규칙을 생성합니다.
      방법 1: 수동으로 검색 규칙을 만듭니다.
      1. 새로 만들기를 클릭하고 양식의 필드에 내용을 입력합니다.
        표 1. 탐지 규칙 - MITRE-ATT&CK 매핑
        필드 설명
        규칙 이름 탐지 규칙의 이름입니다.
        MITRE-ATT&CK 전술 적절한 전술.MITRE-ATT&CK
        MITRE-ATT&CK 기술을 관련 MITRE-ATT&CK 기술. 단일 전술에 대해 여러 기술을 선택할 수 있습니다.
        소스 이메일, 방화벽, 네트워크 모니터링 등과 같은 보안 인시던트의 소스입니다.
        경보 센서 CarbonBlack, CrowdStrike, McAfee 등의 경보 또는 이벤트 데이터를 수집하는 보안 통합입니다.
        하위 범주 문제를 자세히 정의하는 하위 범주입니다.
        범주 보안 문제의 유형을 식별하는 범주입니다.
        MITRE-ATT&CK 기술 관련 MITRE-ATT&CK 기술. 단일 전술에 대해 여러 기술을 선택할 수 있습니다.
        보안 인시던트 수 기술이 추가된 보안 인시던트 수입니다. 이 개수는 경보 규칙에서 보안 인시던트에 자동으로 정보를 롤업 MITRE-ATT&CK 할 수 있도록 설정한 경우에 나타납니다.
        사용하지 않음 탐지 규칙 매핑은 더 이상 사용되지 않습니다.
        활성 검색 규칙이 활성 상태이고 사용자 환경에 배포되었는지 여부를 지정하는 옵션입니다.

        탐지 규칙 예.

      2. 제출을 클릭합니다.
      방법 2: 검색 규칙을 가져오고 만듭니다.
      1. Rule Name(규칙 이름) 열 헤더를 마우스 오른쪽 버튼으로 클릭합니다.
      2. 목록에서 Import(가져오기)를 클릭합니다.
      3. Excel 템플릿 만들기를 클릭합니다.
      4. 내보내기가 완료된 후 Download(다운로드 )를 클릭합니다. 파일 이름이 sn_ti_alert_rules_mitre_attack_technique_mapping인 Excel 템플릿이 컴퓨터에 다운로드됩니다.

        다음 그림에서는 Excel 템플릿을 내보내고, 스프레드시트에 세부 정보를 입력하고, 파일을 업로드하고, 필드를 미리 보고, Now Platform다시 .

        MITRE 다운로드 임포트 템플릿입니다.
      5. 스프레드시트를 열고, 두 번째 시트 탭을 선택하고, 입력한 내용을 검토합니다. 양식의 필드에 내용을 입력한 다음 파일을 저장합니다.
        표 2. 템플릿 임포트
        필드 설명
        규칙 이름 탐지 규칙 이름입니다.
        활성 검색 규칙이 활성 상태이고 사용자 환경에 배포되었는지 여부를 지정하는 옵션입니다.
        경보 센서 CarbonBlack, CrowdStrike, McAfee 등의 경보 또는 이벤트 데이터를 수집하는 보안 통합입니다.
        범주 보안 문제의 유형을 식별하는 범주입니다.
        설명 탐지 규칙에 대한 설명입니다.
        사용하지 않음 탐지 규칙 매핑은 더 이상 사용되지 않습니다.
        MITRE-ATT&CK 기술 ID MITRE-ATT&CK 접근성 기능에 대한 기술 ID(예: T1546.008)입니다.
        MITRE-ATT&CK 방법 ID MITRE-ATT&CK 지속성에 대한 전술 ID(예: TA0003)입니다.
        보안 인시던트 수 기술이 추가된 보안 인시던트 수입니다. 이 개수는 경보 규칙에서 보안 인시던트로 정보가 자동으로 롤업 MITRE-ATT&CK 되도록 설정하고 탐지 규칙이 활성 상태일 때 나타납니다.
        소스 이메일, 방화벽, 네트워크 모니터링 등과 같은 보안 인시던트의 소스입니다.
        하위 범주 문제를 자세히 정의하는 하위 범주입니다.
        MITRE-ATT&CK 전술 적절한 전술.MITRE-ATT&CK
        MITRE-ATT&CK 기술 관련 MITRE-ATT&CK 기술.

        다음 그림은 스프레드시트 템플릿을 보여줍니다. 필수 필드(규칙 이름, MITRE-ATT&CK 방법 ID 및 MITRE-ATT&CK 기술 ID)가 빨간색으로 강조 표시됩니다.

        스프레드시트 템플릿에서 매핑 상세 정보를 업데이트합니다.

      6. 파일 선택을 클릭하고 컴퓨터에서 스프레드시트를 선택합니다.
      7. 업로드를 클릭합니다.
      8. 임포트한 데이터 미리 보기를 클릭합니다.
      9. 매핑을 미리 보고 임포트 완료를 클릭합니다.

        다음 그림에서는 스프레드시트를 업로드하고, 데이터를 미리 보고, 오류를 검토하고, 탐지 규칙 매핑 임포트 프로세스를 완료하는 방법을 보여줍니다.

        스프레드시트를 업로드하여 탐지 규칙 매핑을 완료합니다.