Rollup der Informationen MITRE-ATT&CK aus Erkennungsregeln

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Aktivieren Sie das Rollup von MITRE-ATT&CK -Informationen aus den Erkennungsregeln für Security Incidents, um Security Incidents und Bedrohungen besser analysieren zu können.

    Vorbereitungen

    Erforderliche Rolle: keine

    Vergewissern Sie sich, dass Sie Folgendes durchgeführt haben:
    • Aktivieren Sie die Eigenschaft Rollup MITRE ATT&ack-Informationen automatisch von Warnungsregeln zu Security Incidents durchführen im Modul Eigenschaften. Standardmäßig ist diese Option deaktiviert. Weitere Informationen finden Sie unter MITRE-ATT&CK-Systemeigenschaften überprüfen.
    • Führen Sie die Zuordnung von Erkennungsregeln zu MITRE-ATT&CK TTPs im Modul Erkennungsregeln – MITRE ATT&CK-TTP -Zuordnung durch. Der Name der Erkennungsregel muss mit dem Namen der Warnungsregel übereinstimmen, die den Security Incident auslöst. Weitere Informationen finden Sie unter Erkennungsregeln erstellen und zuordnen.

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie die automatischen SIEM-Extraktionsregeln des Basissystems nicht verwenden möchten, aktivieren Sie das automatische Rollup von MITRE-ATT&CK TTPs basierend auf der Erkennungsregelzuordnung. Sie können die Warnungs- oder Ereignisregel, die den Security Incident auslöst, im Feld Name der Warnungsregel ausfüllen. Sie können das Feld „Warnungsregelname“ auch ausfüllen, indem Sie die SIEM -Integration, E-Mail-Analyse, manuelle Erstellung usw. verwenden.

    Prozedur

    1. Navigieren zu MITRE ATT&CK-Administration > Eigenschaftenan.
    2. Aktivieren Sie die Eigenschaft Rollup MITRE ATT&ack-Informationen automatisch von Warnungsregeln zu Security Incidents durchführen, und klicken Sie auf Speichern.
      Standardmäßig ist diese Option deaktiviert.
    3. Sie müssen das Feld Name der Warnungsregel des Security Incident mit den erforderlichen Warnungsregeln ausfüllen.
      Hinweis:
      Stellen Sie sicher, dass Sie den genauen Namen der Warnungsregel hinzufügen. Um mehrere Regeln hinzuzufügen, müssen Sie die Regeln mit einem Kommatrennzeichen hinzufügen.
    4. Klicken Sie mit der rechten Maustaste auf das Formular, und wählen Sie Speichernaus.
      Wenn der Wert des Namens der Warnungsregel im Security Incident mit einem Datensatz im Modul „Erkennungsregel – MITRE ATT&CK TTP Mapping“ übereinstimmt, werden die entsprechenden Techniken und Taktiken, die der Warnungsregel zugeordnet sind, automatisch mit dem Security Incident verknüpft.

      Diese Abbildung zeigt, wie ein Rollup von MITRE-Informationen aus den Erkennungsregeln zu einem Security Incident durchgeführt wird.

    5. Öffnen Sie den Security Incident, wählen Sie die MITRE ATT&CK-Karte aus, und überprüfen Sie, ob ein Rollup für die Techniken durchgeführt wird.
    6. Aktivieren Sie die Option Ursprung der Techniken anzeigen, um den Ursprung der Techniken anzuzeigen.
      Der Ursprung der Techniken muss Erkennungsregelsein.