Extrair automaticamente regras de técnica para importação MITRE-ATT&CKinformações

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura
  • Use as regras de extração automática do sistema base para importar o. MITRE-ATT&CKinformações de integrações de terceiros existentes.

    Use regras de extração automática de pesquisa de ameaças

    Use as regras de extração automática da pesquisa de ameaças para importar o. MITRE-ATT&CKinformações de qualquer existente Inteligência contra ameaçasintegrações de terceiros.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: criar, gravar, excluir acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    Quando houver Inteligência contra ameaçasA integração, como Sandbox ou uma DICA, oferece suporte ao MITRE-ATT&CKe se o. MITRE-ATT&CKas informações são analisadas em cada nível de integração e, em seguida, as informações são exibidas em cada registro de resultado da pesquisa de ameaças. No entanto, nem todos Inteligência contra ameaçasas integrações analisam o. MITRE-ATT&CKinformações. A regra de extração automática global de pesquisa de ameaças pode extrair MITRE-ATT&CKinformações de todos Inteligência contra ameaçasintegrações.

    Você pode optar por acumular o. MITRE-ATT&CKinformações automaticamente dos resultados da pesquisa de ameaças para um incidente de segurança. Para acúmulo automático de resultados de pesquisa de ameaças para incidentes de segurança, habilite a propriedade do sistema . Como alternativa, você pode acumule as informações manualmente para cada pesquisa de ameaça individual.

    O sistema de base Inteligência contra ameaçasextrai automaticamente o. MITRE-ATT&CKinformações da carga bruta de integrações de terceiros para o registro de resultado da pesquisa de ameaças, se for Inteligência contra ameaçasa integração fornece a você MITRE-ATT&CKinformações como a técnica ou tática.

    . MITRE-ATT&CKas informações não estão disponíveis no campo de carga bruta do registro de pesquisa de ameaças, então você deve definir sua própria regra para extração automática da integração de terceiros.

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Administração do MITRE ATT&CK > Regra de extração da técnica.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de regra de extração de técnica
      Campo Descrição
      Nome Nome da regra de extração automática.
      Tipo de regra Tipo de regra de extração automática. Selecione Pesquisa de ameaças .
      Ignorar extração automática A configuração que, por padrão, está desmarcada. Esta configuração habilita a extração automática de MITRE-ATT&CKtécnicas.
      Mecanismo de Origem Mecanismo de origem.
      Global Configuração do mecanismo de origem. Quando você define o mecanismo de origem como Global , a extração é executada em todos os resultados de integração da pesquisa de ameaças.
      Descrição Descrição da regra de extração automática.
      Método de processo Regex ou um método de script especificado para vincular as informações da técnica da carga bruta.
      Extração de regex Opção especificada para Campo de destino ao usar o método de extração regex. Regex é o padrão.
      Extração de script Processo que você seleciona ao executar um script. O script revisa o seguinte:
      • ThreatLookupResultSysId:sys_id do registro de resultado da pesquisa de ameaças
      • SourceName: Nome da origem da pesquisa de ameaças.
      Extração de tática Opção especificada para extrair informações relacionadas à tática da carga bruta. Se uma carga contiver informações específicas relacionadas à tática e técnica, você poderá extrair e anexar as informações ao incidente de segurança.
    4. Clique em Enviar.

    Use regras de extração automática DE SIEM

    Use as regras de extração automática DE SIEM para importar o. MITRE-ATT&CKinformações de qualquer existente Operações de segurançaSIEM integrações de terceiros.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: criar, gravar, excluir acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    A regra de extração de técnica está disponível para todos os sistemas de base Operações de segurançaIntegrações DE SIEM, como Splunk, IBM QRadar e integrações ArcSight. Quando o. Now PlatformIngere dados de alerta ou evento dessas integrações DE SIEM e eles contêm MITRE-ATT&CK. Now Platformprocessa a carga bruta e extrai automaticamente o. MITRE-ATT&CKinformações.

    . Now PlatformContém integrações de SIEM do sistema de base, o que significa que as regras de extração de técnica já foram criadas no MITRE-ATT&CKmódulo. Você deve revisar e modificar as regras conforme necessário.

    Habilite a regra de extração automática DE SIEM ou a regra de alerta de cada vez.

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Administração do MITRE ATT&CK > Regra de extração da técnica.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 2. Formulário de regra de extração de técnica
      Campo Descrição
      Nome Nome da regra de extração automática.
      Tipo de regra Tipo de regra de extração automática. Selecione SIEM .
      Ignorar extração automática A configuração que, por padrão, está desmarcada. Esta configuração habilita a extração automática de MITRE-ATT&CKtécnicas.
      Importar Tabela Tabela de importação que é mapeada automaticamente para integrações DE SIEM do sistema de base. Revise este campo para outras integrações DE SIEM para MITRE-ATT&CKe mapa de acordo.
      Importar campo Campo de importação que é mapeado automaticamente para integrações DE SIEM do sistema de base. Revise este campo para outras integrações DE SIEM para MITRE-ATT&CKe mapa de acordo.
      Descrição Regra de extração automática.
      Método de processo Regex ou um método de script especificado para vincular as informações da técnica da carga bruta.
      Extração de regex Opção especificada para Campo de destino ao usar o método regex. A extração regex é o método de processo padrão.
      Extração de script Método de processo de script que você usa se quiser personalizar como o. MITRE-ATT&CKas informações são extraídas.
      Extração de tática Opção especificada para extrair informações relacionadas à tática da carga bruta. Se uma carga contiver informações específicas relacionadas à tática e técnica, você poderá extrair e anexar as informações ao incidente de segurança.

      Na ilustração a seguir, você vê um exemplo de Splunk EnterpriseRegra de extração da técnica de SIEM na exibição de formulário. Esta regra é semelhante a todas as outras regras de extração da técnica SIEM.

      Regra de extração da técnica Splunk.
    4. Clique em Enviar.