탐지 규칙의 롤업 MITRE-ATT&CK 정보

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • 더 나은 보안 인시던트 및 위협 분석을 위해 탐지 규칙에서 보안 인시던트로 정보의 롤업 MITRE-ATT&CK 을 활성화합니다.

    시작하기 전에

    필요한 역할: 없음.

    다음을 수행했는지 확인합니다.
    • 속성 모듈의 경보 규칙에서 보안 인시던트 속성으로 롤업 MITRE ATT&ACK 정보를 자동으로 활성화합니다. 기본적으로 이 옵션은 사용되지 않습니다. 자세한 내용은 MITRE-ATT&CK 시스템 속성 검토를 참조하십시오.
    • 탐지 규칙 - MITRE ATT&CK TTP 매핑 모듈에서 탐지 규칙을 TTP에 MITRE-ATT&CK 매핑합니다. 탐지 규칙 이름은 보안 인시던트를 트리거하는 경보 규칙 이름과 일치해야 합니다. 자세한 내용은 탐지 규칙 생성 및 매핑 문서를 참조하십시오.

    이 태스크 정보

    기본 시스템 SIEM 자동 추출 규칙을 사용하지 않으려면 탐지 규칙 매핑을 기반으로 TTP의 MITRE-ATT&CK 자동 롤업을 활성화합니다. 경보 규칙 이름 필드에 보안 인시던트를 트리거하는 경보 또는 이벤트 규칙을 채울 수 있습니다. SIEM 통합, 이메일 구문 분석, 수동 생성 등을 사용하여 경보 규칙 이름 필드를 채울 수도 있습니다.

    프로시저

    1. 다음으로 이동 MITRE ATT&CK 관리 > 속성.
    2. 경보 규칙에서 보안 인시던트 속성으로 자동 롤업 MITRE ATT&ACK 정보를 사용하도록 설정하고 저장을 클릭합니다.
      기본적으로 이 옵션은 사용되지 않습니다.
    3. 보안 인시던트의 경보 규칙 이름 필드에 필요한 경보 규칙을 채워야 합니다.
      주:
      정확한 경보 규칙 이름을 추가해야 합니다. 여러 규칙을 추가하려면 쉼표 구분 기호를 사용하여 규칙을 추가해야 합니다.
    4. 양식을 마우스 오른쪽 버튼으로 클릭하고 저장을 클릭합니다.
      보안 인시던트의 경보 규칙 이름 값이 탐지 규칙 - MITRE ATT&CK TTP 매핑 모듈의 기록과 일치하면 경보 규칙과 관련된 해당 기술 및 전술이 보안 인시던트에 자동으로 연결됩니다.

      이 그림은 탐지 규칙에서 보안 인시던트로 MITRE 정보를 롤업하는 방법을 보여줍니다.

    5. 보안 인시던트를 열고 MITRE ATT&CK 카드를 선택한 다음 기술이 롤업되었는지 확인합니다.
    6. 기술의 원본을 보려면 Show origin of techniques 옵션을 활성화합니다.
      기술의 출처는 탐지 규칙이어야 합니다.