Extraktionsregeln für MITRE ATT&CK-Technik

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Extrahieren Sie MITRE-Techniken automatisch aus erkennbaren Elementen oder Objekten, die aus verschiedenen Datenquellen erfasst wurden, und extrahieren Sie auch MITRE-Techniken aus Ergebnissen der Bedrohungssuche im Datensatz erkennbarer Elemente.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Hinweis:
    Stellen Sie sicher, dass die MITRE ATT&CK-Repository-Daten in der von Ihnen verwendeten Instanz verfügbar sind. Wenn die Daten nicht verfügbar sind, führt die Anwendung die Extraktion nicht durch.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administrationan.
    2. Gehe zu Regel-Engine > Extraktionsregeln für MITRE ATT&CK-Technikan.
      Die Seite „Extraktionsregeln für MITRE ATT&CK-Technik“ wird angezeigt.
    3. Klicken Sie auf Neu.
      FeldBeschreibung
      Name Geben Sie einen Namen für die Extraktionsregel der MITRE ATT&CK-Technik ein.
      Beschreibung Geben Sie eine Beschreibung für die Extraktionsregel der MITRE ATT&CK-Technik ein.
      Integrationstyp Gibt die Extraktionsregel für die MITRE ATT&CK-Technik für die Datenquellen oder Ergebnisse der Bedrohungssuche an. Wählen Sie die Liste der Datenquellen aus der Suche aus.

      Im Folgenden sind die für Datenquellen verfügbaren Optionen aufgeführt:

      • Datenquellen: Alle : Dies bedeutet, dass die Regel für alle Arten von Datenquellen gilt, z. B. Threat Intel Feeds, Import Intelligence-Datensätze, API-Quellen (z. B. aus der API erstellte erkennbare Elemente), von SIR gesendet (erkennbare Elemente, die von SIR gesendet werden) und verschiedene Entitäten, die von den Anwendern in der Threat Intelligence-Bibliothek manuell erstellt werden.
      • Datenquellen – Bedrohungsinformationen-Feeds : Dies entspricht den Extraktionsregeln, die nur für Threat Intelligence-Feeds gelten.
      • Datenquellen: API-Quellen : Dies entspricht den Extraktionsregeln, die nur für API-Quellen gelten.
      • Integrationen der Bedrohungssuche : Für diese Art von Option gilt die Extraktionsregel für alle Integrationen der Bedrohungssuche, z. B. Virustotal.
        Hinweis:
        • Wenn Sie diese Option auswählen, müssen Sie den Lieferantennamen für die Bedrohungssuche eingeben. Die Lieferantennamen werden nur dann automatisch ausgefüllt, wenn die Integrationen für die Bedrohungssuche von installiert werden ServiceNow Speichern.
        • Für die Threat Intelligence-Datenquellen werden die Extraktionsregeln nur für die Feed-Typen STIX, MISP und Anwenderdefiniert unterstützt.
      • Integrationen zur Anreicherung erkennbarer Elemente : Für diese Art von Option gilt die Extraktionsregel für alle Ergänzungsintegrationen erkennbarer Elemente.
      Bedrohungsfeed-Typ Im Folgenden sind die für den Bedrohungsfeed-Typ verfügbaren Optionen aufgeführt:
      • STIX(TAXII/HTTPS) : Option zum Filtern der Bedrohungsfeeds vom Typ STIX TAXII oder HTTPS-Feeds und Auswählen der zugehörigen Feeds aus der Suche.
      • MISP : Option zum Filtern der Bedrohungs-Feeds des MISP-Feed-Typs und Auswählen der zugehörigen Feeds durch Suche mit dem Suchsymbol.
      • Anwenderdefinierter Feed : Option zum Filtern der Bedrohungs-Feeds des anwenderdefinierten Feed-Typs und Auswählen der zugehörigen Feeds durch Suche mit dem Suchsymbol.
      Feeds Wählen Sie eine oder mehrere Bedrohungs-Feed-Integrationen für den ausgewählten Feed-Typ aus.
      Hinweis:
      Wenn dieses Feld leer gelassen wird, werden alle Bedrohungs-Feed-Integrationen für den ausgewählten Feed-Typ automatisch für die Extraktion berücksichtigt.
      Methode zum Extrahieren von MITRE ATT&CK-Taktiken und -Techniken Option zum Auswählen der Methode „MITRE ATT&CK-Taktiken und -Techniken extrahieren“. Die beiden verfügbaren Methoden sind:
      1. Regulären Ausdruck Verwenden
      2. Skript verwenden
      Extraktionsmethode: Regulären Ausdruck Verwenden Diese Methode verwendet einen regulären Ausdruck, mit dem Bedrohungsanalysten ein Muster mit einer Reihe von Zeichen definieren können, um eine Extraktionsmethode durchzuführen.
      Regulärer Ausdruck für Taktik Option zum Bereitstellen eines regulären Ausdrucks für die Extraktion von MITRE ATT&CK-Taktik-IDs.
      Regulärer Ausdruck der Technik Option zum Bereitstellen eines regulären Ausdrucks für die Extraktion von MITRE ATT&CK-Technik-IDs.
      Extraktionsmethode: Skript verwenden Diese Methode verwendet ein Skriptformat, um die Extraktion für die Quelle oder die Objektquelle oder die Indikatorquelle oder die Ergebnisse der Bedrohungssuche durchzuführen.
      Hinweis:
      • Diese Skriptmethode kann verwendet werden, um MITRE-Taktiken und -Techniken aus dem Entitätsquelldatensatz zu extrahieren und die Taktiken und Techniken mit dem Entitätsquelldatensatz selbst zu verknüpfen.
      • Diese Skriptmethode kann verwendet werden, um MITRE-Taktiken und -Techniken aus Ergebnissen der Bedrohungssuche zu extrahieren und die Taktiken und Techniken mit dem Entitätsdatensatz zu verknüpfen.
      Das Beispielskript wird unten als Referenz angezeigt:
      (function process(lookupResultRawData, recordGr, ruleGr, lookupResultGr) {
/*********************************
 
* - threatLookupResult: The raw data of the threat lookup result  in stringified JSON format.
* - recordGr: The GlideRecord of the observable record.
* - ruleGr: GlideRecord of matched MITRE extraction rule
*
* Once you extracted MITRE tactic IDs and technique IDs,
* then you can use this method to link the tactics and techniques to the observable record.
  **********************************/  
var utils = new MITREExtractionUtils();
var parsedRawData =JSON.parse(lookupResultRawData);
var mitreDataField = parsedRawData.mitre_data; 
var response = utils.extractMITREDataUsingRegex(mitreDataField,'TA[0-9][0-9][0-9][0-9]','T[0-9][0-9][0-9][0-9].[0-9][0-9][0-9]|T[0-9][0-9][0-9][0-9]');
utils.addTacticTechniquesForLookup(response.tacticIds, response.techniqueIds, recordGr, ruleGr.getUniqueValue(), lookupResultGr);
 
})(lookupResultRawData, recordGr, ruleGr, lookupResultGr);
 
Here is a sample script example for the extraction rule for threat lookup integrations where the script logic is parsing the threat lookup raw payload and performing the extraction only on a specific field inside the raw payload and associates the extracted tactics/techniques to the observable record.
    4. Klicken Sie Auf Aktivieren Zum Aktivieren der Extraktionsregel für die MITRE ATT&CK-Technik, nachdem Sie eine neue Regel erstellt haben.
      Wenn Sie die Extraktionsregel der MITRE ATT&CK-Technik nicht aktivieren, wird die Regel nicht auf den Datensatz angewendet.
      Hinweis:
      1. Datenquellen: Wenn Sie die Extraktionsregel aktivieren, darf die Kombination aus Datenquellen und Integrationstyp keiner der vorhandenen aktivierten Extraktionsregeln entsprechen. Wenn dies der Fall ist, zeigt die Anwendung eine Fehlermeldung an, mit der Sie die vorhandenen Kombinationen ändern und die Regel erneut aktivieren können.
      2. Bedrohungssuche: Wenn Sie die Extraktionsregel aktivieren, darf der Lieferantenname mit keiner der vorhandenen aktivierten Extraktionsregeln übereinstimmen. Wenn dies der Fall ist, zeigt die Anwendung eine Fehlermeldung an, in der Sie den Lieferantennamen ändern und die Regel erneut aktivieren können.
      3. Für die Anwender im Basissystem werden Beispielextraktionsregeln für die MITRE ATT&CK-Technik bereitgestellt. Diese Regeln befinden sich standardmäßig im deaktivierten Status, und Sie müssen die Regel aktivieren und aktivieren.
        Feld Beschreibung
        Generische Regel für Datenquellenerfassung Dies ist eine generische Regel für die Erfassung aus allen Arten von Datenquellen, einschließlich Import Intelligence und manueller Erstellung.
        Generische Regel für Bedrohungssuche Dies ist eine generische Regel für alle Integrationen der Bedrohungssuche.
        Generische Regel für Integrationen zur Anreicherung erkennbarer Elemente Dies ist eine generische Regel für alle Ergänzungsintegrationen erkennbarer Elemente.
    5. Klicken Sie Auf Duplikat Dient zum Erstellen einer Kopie der Extraktionsregel.
    6. Klicken Sie Auf Deaktivieren Zum Deaktivieren der Extraktionsregel.
      Hinweis:
      Sobald sie deaktiviert ist, wird die Regel für die Extraktion von MITRE-Daten nicht mehr berücksichtigt.
    7. Klicken Sie auf Speichern.
    8. Klicken Sie Auf Löschen Wenn Sie eine Extraktionsregel für MITRE ATT&CK-Technik löschen möchten.