Crie e mapeie regras de detecção
Crie regras de detecção e mapeie-as em relação às táticas e técnicas. Com este mapeamento, você pode ver a cobertura das regras de detecção em sua organização.
Antes de Iniciar
- sn_ti.admin, sn_si.admin: criar, gravar, excluir acesso
- sn_ti.read: acesso de leitura
Por Que e Quando Desempenhar Esta Tarefa
O mapeamento de regra de detecção permite que sua organização veja quais regras de detecção estão disponíveis para identificar técnicas específicas.
O objetivo primário do mapeamento é fornecer visibilidade se sua organização tiver as regras de detecção necessárias para identificar quando um alerta ou evento é acionado como resultado de um ataque de um adversário usando uma técnica específica.
Por exemplo, exiba a ilustração a seguir que mostra uma lista de regras de detecção mapeadas para várias técnicas. Você também pode exibir essas informações em o MITRE-ATT&CK navegador.
Se você não pretende usar as regras de extração automática DE SIEM do sistema base, habilite o rollup automático de MITRE-ATT&CKTTPs com base no mapeamento de regra de detecção. Você pode preencher a regra de alerta ou evento que aciona o incidente de segurança no Regra de alerta campo nome. Você também pode preencher Regra de alerta Nome do campo usando integração DE SIEM, análise de e-mail, criação manual etc. Para obter mais informações, consulte Acúmulo MITRE-ATT&CKinformações das regras de detecção.
O recurso de regras de detecção foi atualizado para incluir o mapeamento de uma única tática para várias técnicas. Anteriormente, você podia mapear uma única tática com uma única técnica. Se você estiver atualizando o. Inteligência contra ameaçasplug-in da versão 12.0.4 para uma versão superior e, em seguida, revise os seguintes pontos antes de usar as regras de detecção em MITRE-ATT&CKmódulo.
- Você encontra vários registros mesclados em um único registro se os campos - nome da regra, sensor de alerta, origem, categoria, subcategoria, e. MITRE-ATT&CKas táticas são comuns.
- Os registros antigos são marcados como verdadeiro na coluna obsoleto e como falso na coluna ativa.
- Os novos registros mesclados estão disponíveis para uso e são marcados como falso na coluna obsoleto e como verdadeiro na coluna ativa.
- Depois de verificar o upgrade e ver que todas as regras de detecção foram migradas com sucesso, você pode excluir os registros antigos marcados como verdadeiros na coluna obsoleto.