Règles de la technique d’extraction automatique pour l’importation d’informations MITRE-ATT&CK

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Utilisez les règles d’extraction automatique du système de base pour importer les MITRE-ATT&CK informations à partir de toutes les intégrations tierces existantes.

    Utiliser des règles d’extraction automatique de la recherche de menaces

    Utilisez les règles d’extraction automatique de la recherche de menaces pour importer les MITRE-ATT&CK informations à partir de toutes les intégrations tierces existantes Renseignements sur les menaces .

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer un accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    Lorsqu’une Renseignements sur les menaces intégration, comme Sandbox ou TIP, prend en charge le cadre de MITRE-ATT&CK travail et si les MITRE-ATT&CK informations sont analysées à chaque niveau d’intégration, elles s’affichent dans chaque enregistrement de résultat de recherche de menace. Toutefois, toutes les Renseignements sur les menaces intégrations n’analysent pas les MITRE-ATT&CK informations. La règle d’extraction automatique globale de la recherche des menaces peut extraire MITRE-ATT&CK des informations de toutes les Renseignements sur les menaces intégrations.

    Vous pouvez choisir de déployer automatiquement les MITRE-ATT&CK informations à partir des résultats de la recherche de menaces vers un incident de sécurité. Pour que le cumul automatique des résultats de recherche de menaces vers les incidents de sécurité s’applique, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque recherche de menace.

    Le système Renseignements sur les menaces de base extrait automatiquement les informations de la MITRE-ATT&CK charge utile brute des intégrations tierces vers l’enregistrement des résultats de la recherche de menaces, si l’intégration Renseignements sur les menaces vous MITRE-ATT&CK fournit des informations comme la technique ou la tactique.

    Si les informations ne sont pas disponibles dans le MITRE-ATT&CK champ Charge utile brute de l’enregistrement de recherche de menace, vous devez définir votre propre règle pour l’extraction automatique à partir de l’intégration tierce.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Administration MITRE ATT&CK > Règle d'extraction de la technique.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Règle d’extraction de technique
      Champ Description
      Nom Nom de la règle d’extraction automatique.
      Type de règle Type de règle d’extraction automatique. Sélectionnez Recherche de menace.
      Ignorer l’extraction automatique La définition par défaut est désactivée. Ce paramètre permet l’extraction automatique des MITRE-ATT&CK techniques.
      Moteur source Moteur source.
      Global Réglage du moteur source. Lorsque vous définissez le moteur source sur Global, l’extraction s’exécute sur tous les résultats d’intégration de la recherche de menaces.
      Description Description de la règle d’extraction automatique.
      Méthode de traitement Regex ou une méthode de script que vous spécifiez pour lier les informations de la technique à partir de la charge utile brute.
      Regex Extraction Option que vous spécifiez pour le champ cible lors de l’utilisation de la méthode d’extraction regex. Regex est la valeur par défaut.
      Extraction de script Processus que vous sélectionnez lors de l’exécution d’un script. Le script passe en revue les éléments suivants :
      • threatLookupResultSysId :sys_id de l’enregistrement de résultat de la recherche de menace
      • sourceName : nom de la source de recherche de menaces.
      Extraction tactique Option que vous spécifiez pour extraire les informations relatives à la tactique à partir de la charge utile brute. Si une charge utile contient des informations spécifiques relatives aux tactiques et techniques, vous pouvez extraire ces informations et les annexer à l’incident de sécurité.
    4. Cliquez sur Envoyer.

    Utiliser les règles d’extraction automatique SIEM

    Utilisez les règles d’extraction automatique SIEM pour importer les MITRE-ATT&CK informations à partir de toutes les intégrations tierces SIEM existantes Security Operations .

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer un accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    La règle d’extraction de technique est disponible pour toutes les intégrations SIEM du système Security Operations de base telles que Splunk, IBM QRadar et ArcSight. Lorsque le processus ingère des données d’alerte ou d’événement provenant de ces intégrations SIEM et qu’elles Now Platform contiennent MITRE-ATT&CK des informations, il Now Platform traite la charge utile brute et extrait automatiquement les MITRE-ATT&CK informations.

    Si votre Now Platform contient des intégrations SIEM du système de base, cela signifie que les règles d’extraction de technique sont déjà créées dans le MITRE-ATT&CK module. Vous devez examiner et modifier les règles selon vos besoins.

    Activez la règle d’extraction automatique SIEM ou la règle d’alerte en même temps.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Administration MITRE ATT&CK > Règle d'extraction de la technique.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Règle d’extraction de technique
      Champ Description
      Nom Nom de la règle d’extraction automatique.
      Type de règle Type de règle d’extraction automatique. Sélectionnez SIEM.
      Ignorer l’extraction automatique La définition par défaut est décochée. Ce paramètre permet l’extraction automatique des MITRE-ATT&CK techniques.
      Importer la table Table d’importation automatiquement mappée pour les intégrations SIEM du système de base. Examinez ce champ pour d’autres intégrations SIEM afin d’obtenir des informations et effectuez le MITRE-ATT&CK mappage en conséquence.
      Champ d’importation Champ d’importation automatiquement mappé pour les intégrations SIEM du système de base. Examinez ce champ pour d’autres intégrations SIEM afin d’obtenir des informations et effectuez le MITRE-ATT&CK mappage en conséquence.
      Description Règle d’extraction automatique.
      Méthode de traitement Regex ou une méthode de script que vous spécifiez pour lier les informations de la technique à partir de la charge utile brute.
      Regex Extraction Option que vous spécifiez pour le champ cible lors de l’utilisation de la méthode regex. L’extraction Regex est la méthode de processus par défaut.
      Extraction de script Méthode de processus de script que vous utilisez si vous souhaitez personnaliser la façon dont les MITRE-ATT&CK informations sont extraites.
      Extraction tactique Option que vous spécifiez pour extraire les informations relatives à la tactique à partir de la charge utile brute. Si une charge utile contient des informations spécifiques relatives aux tactiques et techniques, vous pouvez extraire ces informations et les annexer à l’incident de sécurité.

      Dans l’illustration suivante, vous verrez un exemple de règle d’extraction de technique Splunk Enterprise SIEM dans la vue de formulaire. Cette règle est similaire à toutes les autres règles d’extraction de technique SIEM.

      Règle d’extraction de la technique Splunk.
    4. Cliquez sur Envoyer.