Extrahieren Sie automatisch Technikregeln für den Import von MITRE-ATT&CK -Informationen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Verwenden Sie die automatischen Extraktionsregeln des Basissystems, um die Informationen MITRE-ATT&CK aus vorhandenen Drittanbieterintegrationen zu importieren.

    Verwenden Sie die automatischen Extraktionsregeln für die Bedrohungssuche

    Verwenden Sie die automatischen Extraktionsregeln für die Bedrohungssuche, um die MITRE-ATT&CK -Informationen aus vorhandenen Threat Intelligence -Drittparteiintegrationen zu importieren.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Erstellungs-, Schreib-, Löschzugriff
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn eine Threat Intelligence -Integration (z. B. Sandbox oder TIP) das Framework MITRE-ATT&CK unterstützt und die Informationen für MITRE-ATT&CK auf jeder Integrationsebene analysiert werden, werden die Informationen in jedem Ergebnisdatensatz der Bedrohungssuche angezeigt. Allerdings analysieren nicht alle Threat Intelligence -Integrationen die MITRE-ATT&CK -Informationen. Die globale automatische Extraktionsregel für die Bedrohungssuche kann MITRE-ATT&CK Informationen aus allen Threat Intelligence Integrationen extrahieren.

    Sie können festlegen, dass die Informationen MITRE-ATT&CK automatisch aus den Ergebnissen der Bedrohungssuche zu einem Security Incident zusammengefasst werden. Für ein automatisches Rollup der Ergebnisse der Bedrohungssuche in Security Incidents aktivieren Sie die Systemeigenschaft. Alternativ können Sie die Informationen für jede einzelne Bedrohungssuche manuell zusammenfassen.

    Das Basissystem Threat Intelligence extrahiert automatisch die Informationen MITRE-ATT&CK aus der Rohnutzlast der Drittanbieterintegrationen für den Ergebnisdatensatz der Bedrohungssuche, wenn die Integration Threat Intelligence Ihnen Informationen zu MITRE-ATT&CK wie die Technik oder Taktik bereitstellt.

    Wenn die Informationen MITRE-ATT&CK im Feld „Rohnutzlast“ des Bedrohungssuchdatensatzes nicht verfügbar sind, müssen Sie eine eigene Regel für die automatische Extraktion aus der Drittanbieterintegration definieren.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Extraktionsregel für Technik.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Technik-Extraktionsregel“.
      Feld Beschreibung
      Name Name der Regel für automatische Extraktion.
      Regeltyp Regeltyp für automatische Extraktion. Wählen Sie Bedrohungssucheaus.
      Automatische Extraktion ignorieren Einstellung, dass standardmäßig deaktiviert ist. Diese Einstellung ermöglicht die automatische Extraktion von MITRE-ATT&CK -Techniken.
      Quell-Engine Quell-Engine.
      Global Einstellung der Quell-Engine. Wenn Sie die Quell-Engine auf Globalfestlegen, wird die Extraktion für alle Ergebnisse der Integration der Bedrohungssuche ausgeführt.
      Beschreibung Beschreibung der Regel für automatische Extraktion.
      Prozessmethode Regulärer Ausdruck oder eine Skriptmethode, die Sie angeben, um die Technikinformationen aus der Rohnutzlast zu verknüpfen.
      Extraktion des regulären Ausdrucks Option, die Sie für das Zielfeld angeben, wenn Sie die Extraktionsmethode für reguläre Ausdrücke verwenden. Regulärer Ausdruck ist der Standardwert.
      Skriptextraktion Prozess, den Sie beim Ausführen eines Skripts auswählen Das Skript überprüft Folgendes:
      • ThreatLookupResultSysId: sys_id des Ergebnisdatensatzes der Bedrohungssuche
      • sourceName: Name der Quelle für die Bedrohungssuche.
      Taktikextraktion Option, die Sie angeben, um taktikbezogene Informationen aus der Rohnutzlast zu extrahieren. Wenn eine Nutzlast bestimmte Informationen im Zusammenhang mit Taktiken und Techniken enthält, können Sie diese Informationen extrahieren und an den Security Incident anhängen.
    4. Klicken Sie auf Absenden.

    Verwenden Sie SIEM-Regeln für automatische Extraktion

    Verwenden Sie die SIEM-Regeln für automatische Extraktion, um die Informationen MITRE-ATT&CK aus vorhandenen Security Operations SIEM-Drittparteiintegrationen zu importieren.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Erstellungs-, Schreib-, Löschzugriff
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Die Technikextraktionsregel ist für alle SIEM-Integrationen des Basissystems Security Operations verfügbar, z. B. Splunk-, IBM QRadar- und ArcSight-Integrationen. Wenn Now Platform Warnungs- oder Ereignisdaten aus diesen SIEM-Integrationen erfasst und diese Informationen MITRE-ATT&CK enthalten, verarbeitet Now Platform die Rohnutzlast und extrahiert die Informationen MITRE-ATT&CK automatisch.

    Wenn Ihr Now Platform SIEM-Integrationen für das Basissystem enthält, bedeutet dies, dass die Regeln zur Technikextraktion bereits im Modul MITRE-ATT&CK erstellt wurden. Sie sollten die Regeln nach Bedarf überprüfen und ändern.

    Aktivieren Sie jeweils entweder die automatische SIEM-Extraktionsregel oder die Warnungsregel.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Extraktionsregel für Technik.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 2. Formular „Technik-Extraktionsregel“.
      Feld Beschreibung
      Name Name der Regel für automatische Extraktion.
      Regeltyp Regeltyp für automatische Extraktion. Wählen Sie SIEMaus.
      Automatische Extraktion ignorieren Einstellung, die standardmäßig deaktiviert ist. Diese Einstellung ermöglicht die automatische Extraktion von MITRE-ATT&CK -Techniken.
      Tabelle importieren Importtabelle, die für SIEM-Integrationen des Basissystems automatisch zugeordnet wird. Überprüfen Sie dieses Feld für andere SIEM-Integrationen für die Informationen MITRE-ATT&CK, und ordnen Sie sie entsprechend zu.
      Feld importieren Importfeld, das für SIEM-Integrationen des Basissystems automatisch zugeordnet wird. Überprüfen Sie dieses Feld für andere SIEM-Integrationen für die Informationen MITRE-ATT&CK, und ordnen Sie sie entsprechend zu.
      Beschreibung Regel für automatische Extraktion.
      Prozessmethode Regulärer Ausdruck oder eine Skriptmethode, die Sie angeben, um die Technikinformationen aus der Rohnutzlast zu verknüpfen.
      Extraktion des regulären Ausdrucks Option, die Sie für das Zielfeld angeben, wenn Sie die Methode des regulären Ausdrucks verwenden. Die Extraktion des regulären Ausdrucks ist die Standardprozessmethode.
      Skriptextraktion Skriptprozessmethode, die Sie verwenden, wenn Sie anpassen möchten, wie die Informationen MITRE-ATT&CK extrahiert werden.
      Taktikextraktion Option, die Sie angeben, um taktikbezogene Informationen aus der Rohnutzlast zu extrahieren. Wenn eine Nutzlast bestimmte Informationen im Zusammenhang mit Taktiken und Techniken enthält, können Sie diese Informationen extrahieren und an den Security Incident anhängen.

      In der folgenden Abbildung sehen Sie ein Beispiel für die Extraktionsregel für SIEM-Technik Splunk Enterprise in der Formularansicht. Diese Regel ähnelt allen anderen Extraktionsregeln für SIEM-Techniken.

      Extraktionsregel für Splunk-Technik.
    4. Klicken Sie auf Absenden.