Erstellen und ordnen Sie Erkennungsregeln zu

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Erstellen Sie Erkennungsregeln, und ordnen Sie sie den Taktiken und Techniken zu. Mit dieser Zuordnung können Sie die Abdeckung für die Erkennungsregeln in Ihrer Organisation anzeigen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Zugriff erstellen, schreiben, löschen
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Mit der Erkennungsregelzuordnung kann Ihre Organisation sehen, welche Erkennungsregeln zur Identifizierung bestimmter Techniken verfügbar sind.

    Der primäre Zweck der Zuordnung besteht darin, Transparenz zu bieten, wenn Ihre Organisation über die erforderlichen Erkennungsregeln verfügt, um zu identifizieren, wann eine Warnung oder ein Ereignis infolge eines Angriffs durch einen Angreifer mit einer bestimmten Technik ausgelöst wird.

    Sehen Sie sich beispielsweise die folgende Abbildung an, die eine Liste der Erkennungsregeln zeigt, die verschiedenen Techniken zugeordnet sind. Sie können diese Informationen auch in anzeigen der/die/das MITRE-ATT&CK navigatoran.

    MITRE ATT&CK-Erkennungsregeln.

    Wenn Sie die automatischen SIEM-Extraktionsregeln des Basissystems nicht verwenden möchten, aktivieren Sie das automatische Rollup von MITRE-ATT&CK TTPs basierend auf der Erkennungsregelzuordnung. Sie können die Warnungs- oder Ereignisregel ausfüllen, die den Security Incident in auslöst Warnungsregel Namensfeld. Sie können auch ausfüllen Warnungsregel Namensfeld mithilfe von SIEM-Integration, E-Mail-Analyse, manueller Erstellung usw. Weitere Informationen finden Sie unter Rollup MITRE-ATT&CK Informationen aus Erkennungsregeln.

    Hinweis:

    Die Erkennungsregelfunktion wurde aktualisiert und umfasst die Zuordnung einer einzelnen Taktik zu mehreren Techniken. Zuvor konnten Sie eine einzelne Taktik einer einzelnen Technik zuordnen. Wenn Sie ein Upgrade von durchführen Threat Intelligence Plugin von Version 12.0.4 zu einer höheren Version überprüfen Sie dann die folgenden Punkte, bevor Sie die Erkennungsregeln in verwenden MITRE-ATT&CK Modul.

    • Sie finden mehrere Datensätze, die in einem einzigen Datensatz zusammengeführt wurden, wenn die Felder – Regelname, Warnungssensor, Quelle, Kategorie, Unterkategorie, und MITRE-ATT&CK Taktiken sind häufig.
    • Die alten Datensätze sind in der Spalte „veraltet“ als „wahr“ und in der Spalte „aktiv“ als „falsch“ markiert.
    • Die neuen zusammengeführten Datensätze können verwendet werden und sind in der Spalte „veraltet“ als „falsch“ und in der Spalte „aktiv“ als „wahr“ markiert.
    • Nachdem Sie das Upgrade verifiziert und angezeigt haben, dass alle Ihre Erkennungsregeln erfolgreich migriert wurden, können Sie die alten Datensätze löschen, die in der Spalte „veraltet“ als „wahr“ markiert sind.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Erkennungsregeln – MITRE ATT&CK-Zuordnungenan.
    2. Verwenden Sie eine der folgenden Methoden, um Ihre Erkennungsregel zu erstellen:
      Methode 1: Erkennungsregeln manuell erstellen.
      1. Klicken Sie Auf Neu Und füllen Sie die Felder im Formular aus.
        Tabelle : 1. Erkennungsregeln – MITRE-ATT&CK Zuordnung
        Feld Beschreibung
        Regelname Name der Erkennungsregel.
        MITRE-ATT&CK Taktik Relevant MITRE-ATT&CK Taktik.
        MITRE-ATT&CK Techniken Relevant MITRE-ATT&CK Technik. Sie können mehrere Techniken für eine einzelne Taktik auswählen.
        Quelle Quelle des Security Incidents, z. B. E-Mail, Firewall, Netzwerküberwachung usw.
        Warnungssensor Sicherheitsintegration, über die Sie Warnungs- oder Ereignisdaten wie CarbonBlack, CrowdStrike, McAfee usw. erfassen.
        Unterkategorie Unterkategorie, die das Problem weiter definiert.
        Kategorie Kategorie, die den Typ des Sicherheitsproblems identifiziert.
        MITRE-ATT&CK Technik Relevant MITRE-ATT&CK Technik. Sie können mehrere Techniken für eine einzelne Taktik auswählen.
        Anzahl der Security Incidents Die Anzahl der Security Incidents, an die die Techniken angehängt sind. Diese Anzahl wird angezeigt, wenn Sie das Rollup von aktiviert haben MITRE-ATT&CK Informationen automatisch von Warnungsregeln zu Security Incidents.
        Überholt Die Erkennungsregelzuordnung ist veraltet.
        Aktiv Option zum Festlegen, ob die Erkennungsregel aktiv und in Ihrer Umgebung bereitgestellt ist.

        Beispiel für Erkennungsregeln.

      2. Klicken Sie auf Absenden.
      Methode 2: Importieren und erstellen Sie Erkennungsregeln.
      1. Klicken Sie mit der rechten Maustaste auf den Header der Spalte „Regelname“.
      2. Klicken Sie in der Liste auf Importieren .
      3. Klicken Sie Auf Erstellen Sie eine Excel-Vorlage .
      4. Klicken Sie Auf Herunterladen Nachdem der Export abgeschlossen ist. Eine Excel-Vorlage mit dem Dateinamen sn_ti_Alert_rules_Mitre_Attack_technique_Mapping wird auf Ihren Computer heruntergeladen.

        In der folgenden Abbildung sehen Sie, wie Sie die Excel-Vorlage exportieren, die Details in der Tabelle ausfüllen, die Datei hochladen, eine Vorschau der Felder anzeigen und wieder in importieren ServiceNow AI Platform.

        MITRE-Download-Importvorlage.
      5. Öffnen Sie die Tabelle, wählen Sie die Registerkarte „zweites Blatt“ aus, und überprüfen Sie, was Sie eingegeben haben. Füllen Sie die Felder im Formular aus, und speichern Sie dann Ihre Datei.
        Tabelle : 2. Vorlage importieren
        Feld Beschreibung
        Regelname Name der Erkennungsregel.
        Aktiv Option zum Festlegen, ob die Erkennungsregel aktiv und in Ihrer Umgebung bereitgestellt ist.
        Warnungssensor Sicherheitsintegration, über die Sie Warnungs- oder Ereignisdaten wie CarbonBlack, CrowdStrike, McAfee usw. erfassen.
        Kategorie Kategorie, die den Typ des Sicherheitsproblems identifiziert.
        Kommentare Beschreibung der Erkennungsregel.
        Überholt Die Erkennungsregelzuordnung ist veraltet.
        MITRE-ATT&CK Technik-IDs MITRE-ATT&CK Technik-ID, z. B. T1546.008, für Barrierefreiheitsfunktionen.
        MITRE-ATT&CK Taktik-ID MITRE-ATT&CK Taktik-ID, z. B. TA0003, für Persistenz.
        Anzahl der Security Incidents Die Anzahl der Security Incidents, an die die Techniken angehängt sind. Diese Anzahl wird angezeigt, wenn Sie das Rollup von aktiviert haben MITRE-ATT&CK Informationen von Warnungsregeln zu Security Incidents automatisch, und die Erkennungsregel ist aktiv.
        Quelle Quelle des Security Incidents, z. B. E-Mail, Firewall, Netzwerküberwachung usw.
        Unterkategorie Unterkategorie, die das Problem weiter definiert.
        MITRE-ATT&CK Taktik Relevant MITRE-ATT&CK Taktik.
        MITRE-ATT&CK Technik Relevant MITRE-ATT&CK Technik.

        Die folgende Abbildung zeigt die Tabellenkalkulationsvorlage. Die Pflichtfelder sind rot hervorgehoben – Regelname, MITRE-ATT&CK Taktik-ID und MITRE-ATT&CK Technik-ID.

        Aktualisieren Sie die Zuordnungsdetails in der Tabellenkalkulationsvorlage.

      6. Klicken Sie Auf Wählen Sie die Datei aus Und wählen Sie die Tabelle auf Ihrem Computer aus.
      7. Klicken Sie auf Hochladen.
      8. Klicken Sie Auf Vorschau Der Importierten Daten Anzeigen .
      9. Zeigen Sie eine Vorschau der Zuordnungen an, und klicken Sie auf Import Abschließen .

        Die folgende Abbildung zeigt, wie Sie die Tabelle hochladen, eine Vorschau der Daten anzeigen, Fehler überprüfen und den Importprozess der Erkennungsregelzuordnung abschließen.

        Laden Sie die Tabelle hoch, um die Zuordnung der Erkennungsregel abzuschließen.