Technikregeln für den Import automatisch extrahieren MITRE-ATT&CK Informationen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Verwenden Sie die automatischen Extraktionsregeln des Basissystems, um zu importieren MITRE-ATT&CK Informationen aus vorhandenen Drittpartei-Integrationen.

    Automatische Extraktionsregeln für Bedrohungssuche verwenden

    Verwenden Sie die Regeln für die automatische Extraktion der Bedrohungssuche, um zu importieren MITRE-ATT&CK Informationen aus vorhandenen Threat Intelligence Drittpartei-Integrationen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Zugriff erstellen, schreiben, löschen
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn vorhanden Threat Intelligence Die Integration, z. B. Sandbox oder ein TIPP, unterstützt MITRE-ATT&CK Framework und wenn MITRE-ATT&CK Informationen werden auf jeder Integrationsebene analysiert, und dann werden die Informationen in jedem Ergebnisdatensatz der Bedrohungssuche angezeigt. Jedoch nicht alle Threat Intelligence Integrationen analysieren MITRE-ATT&CK Informationen. Die globale automatische Extraktionsregel für die Bedrohungssuche kann extrahiert werden MITRE-ATT&CK Informationen von allen Threat Intelligence Integrationen.

    Sie können einen Rollup von durchführen MITRE-ATT&CK Informationen aus den Ergebnissen der Bedrohungssuche zu einem Security Incident. Für das automatische Rollup von Bedrohungssuchergebnissen zu Security Incidents, Aktivieren Sie die Systemeigenschaft . Alternativ können Sie auch rollup der Informationen manuell Für jede einzelne Bedrohungssuche.

    Das Basissystem Threat Intelligence Extrahiert automatisch MITRE-ATT&CK Informationen aus der Rohnutzlast der Drittpartei-Integrationen zum Ergebnisdatensatz der Bedrohungssuche, falls vorhanden Threat Intelligence Die Integration bietet Ihnen MITRE-ATT&CK Informationen wie die Technik oder Taktik.

    Wenn MITRE-ATT&CK Informationen sind im Feld „Rohnutzlast“ des Bedrohungssuchdatensatzes nicht verfügbar. Sie müssen Ihre eigene Regel für die automatische Extraktion aus der Drittpartei-Integration definieren.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Extraktionsregel für Technikan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Formular „Technik-Extraktionsregel“
      Feld Beschreibung
      Name Name der automatischen Extraktionsregel.
      Regeltyp Regeltyp für automatische Extraktion. Wählen Sie Aus Bedrohungssuche .
      Automatische Extraktion ignorieren Einstellung, die standardmäßig gelöscht ist. Diese Einstellung ermöglicht die automatische Extraktion von MITRE-ATT&CK Techniken.
      Quell-Engine Quell-Engine.
      Global Quell-Engine-Einstellung. Wenn Sie die Quell-Engine auf festlegen Global , Die Extraktion wird für alle Integrationsergebnisse der Bedrohungssuche ausgeführt.
      Beschreibung Beschreibung der automatischen Extraktionsregel.
      Prozessmethode Regulärer Ausdruck oder eine Skriptmethode, die Sie angeben, um die Technikinformationen aus der Rohnutzlast zu verknüpfen.
      Extraktion des regulären Ausdrucks Option, die Sie für angeben Zielfeld Bei Verwendung der Extraktionsmethode des regulären Ausdrucks. Regulärer Ausdruck ist der Standard.
      Skriptextraktion Prozess, den Sie beim Ausführen eines Skripts auswählen. Das Skript überprüft Folgendes:
      • ThreLookupResultSysId:sys_ID des Ergebnisdatensatzes der Bedrohungssuche
      • SourceName: Name der Bedrohungssuchquelle.
      Taktik-Extraktion Option, die Sie angeben, um taktikbezogene Informationen aus der Rohnutzlast zu extrahieren. Wenn eine Nutzlast bestimmte taktische und technikbezogene Informationen enthält, können Sie die Informationen extrahieren und an den Security Incident anhängen.
    4. Klicken Sie auf Absenden.

    Verwenden Sie SIEM-Regeln für automatische Extraktion

    Verwenden Sie die SIEM-Regeln für die automatische Extraktion, um zu importieren MITRE-ATT&CK Informationen aus vorhandenen Security Operations SIEM-Drittpartei-Integrationen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Zugriff erstellen, schreiben, löschen
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Die Technikextraktionsregel ist für alle Basissysteme verfügbar Security Operations SIEM-Integrationen wie Splunk-, IBM QRadar- und ArcSight-Integrationen. Wenn ServiceNow AI Platform Erfasst Warnungs- oder Ereignisdaten aus diesen SIEM-Integrationen und enthält sie MITRE-ATT&CK Informationen, die ServiceNow AI Platform Verarbeitet die Rohnutzlast und extrahiert automatisch MITRE-ATT&CK Informationen.

    Wenn Ihr ServiceNow AI Platform Enthält SIEM-Integrationen des Basissystems, d. h. die Extraktionsregeln für Technik wurden bereits in erstellt MITRE-ATT&CK Modul. Sie sollten die Regeln nach Bedarf überprüfen und ändern.

    Aktivieren Sie entweder die automatische SIEM-Extraktionsregel oder die Warnungsregel gleichzeitig.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Extraktionsregel für Technikan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 2. Formular „Technik-Extraktionsregel“
      Feld Beschreibung
      Name Name der automatischen Extraktionsregel.
      Regeltyp Regeltyp für automatische Extraktion. Wählen Sie Aus SIEM .
      Automatische Extraktion ignorieren Einstellung, die standardmäßig gelöscht ist. Diese Einstellung ermöglicht die automatische Extraktion von MITRE-ATT&CK Techniken.
      Tabelle importieren Importtabelle, die automatisch für SIEM-Integrationen des Basissystems zugeordnet wird. Überprüfen Sie dieses Feld auf andere SIEM-Integrationen für MITRE-ATT&CK Informationen und Zuordnung entsprechend.
      Feld importieren Importfeld, das automatisch für SIEM-Integrationen des Basissystems zugeordnet wird. Überprüfen Sie dieses Feld auf andere SIEM-Integrationen für MITRE-ATT&CK Informationen und Zuordnung entsprechend.
      Beschreibung Regel für automatische Extraktion.
      Prozessmethode Regulärer Ausdruck oder eine Skriptmethode, die Sie angeben, um die Technikinformationen aus der Rohnutzlast zu verknüpfen.
      Extraktion des regulären Ausdrucks Option, die Sie für angeben Zielfeld Bei Verwendung der Methode des regulären Ausdrucks. Die Extraktion des regulären Ausdrucks ist die Standardprozessmethode.
      Skriptextraktion Skriptprozessmethode, die Sie verwenden, wenn Sie anpassen möchten, wie der MITRE-ATT&CK Informationen werden extrahiert.
      Taktik-Extraktion Option, die Sie angeben, um taktikbezogene Informationen aus der Rohnutzlast zu extrahieren. Wenn eine Nutzlast bestimmte taktische und technikbezogene Informationen enthält, können Sie die Informationen extrahieren und an den Security Incident anhängen.

      In der folgenden Abbildung sehen Sie ein Beispiel für Splunk Enterprise Extraktionsregel für SIEM-Technik in der Formularansicht. Diese Regel ähnelt allen anderen Extraktionsregeln für SIEM-Technik.

      Extraktionsregel für Splunk-Technik.
    4. Klicken Sie auf Absenden.