Créer et mapper des règles de détection

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Créez des règles de détection et mappez-les par rapport aux tactiques et techniques. Avec ce mappage, vous pouvez voir la couverture des règles de détection dans votre organisation.

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer un accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    Le mappage des règles de détection permet à votre organisation de voir quelles règles de détection sont disponibles pour identifier des techniques spécifiques.

    L’objectif principal du mappage est de fournir une visibilité si votre organisation dispose des règles de détection nécessaires pour identifier quand une alerte ou un événement est déclenché suite à une attaque par un adversaire à l’aide d’une technique spécifique.

    Par exemple, consultez l’illustration suivante qui montre une liste des règles de détection mappées à diverses techniques. Vous pouvez également afficher ces informations dans le ou la MITRE-ATT&CK Navigateur.

    Règles de détection MITRE ATT&CK.

    Si vous n’avez pas l’intention d’utiliser les règles d’extraction automatique du SIEM du système de base, activez le déploiement automatique des TTP en fonction du mappage de la règle de MITRE-ATT&CK détection. Vous pouvez renseigner la règle d’alerte ou d’événement qui déclenche l’incident de sécurité dans le champ Nom de la règle d’alerte . Vous pouvez également renseigner le champ Nom de la règle d’alerte à l’aide de l’intégration SIEM, de l’analyse des e-mails, de la création manuelle, etc. Pour plus d'informations, consultez Informations de déploiement MITRE-ATT&CK à partir de règles de détection.

    Remarque :

    La fonctionnalité des règles de détection a été mise à jour pour inclure le mappage d’une seule tactique à plusieurs techniques. Auparavant, vous pouviez mapper une seule tactique avec une seule technique. Si vous mettez à niveau le module d’extension de la Renseignements sur les menaces version 12.0.4 vers une version supérieure, passez en revue les points suivants avant d’utiliser les règles de détection dans MITRE-ATT&CK le module.

    • Plusieurs enregistrements sont fusionnés en un seul si les champs - nom de règle, capteur d’alerte, source, catégorie, sous-catégorie et MITRE-ATT&CK tactique - sont communs.
    • Les anciens enregistrements sont marqués comme vrais dans la colonne déconseillé et faux dans la colonne active.
    • Les nouveaux enregistrements fusionnés sont disponibles pour utilisation et sont marqués comme faux dans la colonne déconseillé et vrai dans la colonne active.
    • Après avoir vérifié la mise à niveau et constaté que toutes vos règles de détection ont bien été migrées, vous pouvez supprimer les anciens enregistrements marqués comme vrais dans la colonne Déconseillé.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Administration MITRE ATT&CK > Règles de détection : Mappages MITRE ATT&CK.
    2. Utilisez l’une des méthodes suivantes pour créer votre règle de détection :
      Méthode 1 : créer manuellement des règles de détection.
      1. Cliquez sur Nouveau et renseignez les champs du formulaire.
        Tableau 1. Règles de détection - MITRE-ATT&CK Mappage
        Champ Description
        Nom de la règle Nom de la règle de détection.
        MITRE-ATT&CK Tactique Tactique pertinente MITRE-ATT&CK .
        MITRE-ATT&CK Les techniques Technique pertinente MITRE-ATT&CK . Vous pouvez sélectionner plusieurs techniques pour une seule tactique.
        Source Source de l’incident de sécurité, telle que l’e-mail, le pare-feu, la surveillance réseau, etc.
        Capteur d’alerte Intégration de sécurité par laquelle vous ingérez les données d’alerte ou d’événement telles que CarbonBlack, CrowdStrike, McAfee, etc.
        Sous-catégorie Sous-catégorie qui précise le problème.
        Catégorie Catégorie qui identifie le type de problème de sécurité.
        MITRE-ATT&CK La technique Technique pertinente MITRE-ATT&CK . Vous pouvez sélectionner plusieurs techniques pour une seule tactique.
        Nombre d’incidents de sécurité Nombre d’incidents de sécurité auxquels les techniques sont ajoutées. Ce nombre apparaît lorsque vous avez activé le déploiement automatique des MITRE-ATT&CK informations à partir des règles d’alerte vers les incidents de sécurité.
        Déconseillé Le mappage de la règle de détection est déconseillé.
        Actif Option permettant de spécifier si la règle de détection est active et déployée dans votre environnement.

        Exemple de règles de détection.

      2. Cliquez sur Envoyer.
      Méthode 2 : importer et créer des règles de détection.
      1. Cliquez avec le bouton droit sur l’en-tête de colonne Nom de la règle.
      2. Dans la liste, cliquez sur Importer.
      3. Cliquez sur Créer un modèle Excel.
      4. Cliquez sur Télécharger une fois l’exportation terminée. Un modèle Excel portant le nom de fichier sn_ti_alert_rules_mitre_attack_technique_mapping est téléchargé sur votre ordinateur.

        Dans l’illustration suivante, vous voyez comment exporter le modèle Excel, renseigner les détails dans la feuille de calcul, charger le fichier, prévisualiser les champs et le réimporter dans le Now Platformfichier .

        Modèle d’importation de téléchargement MITRE.
      5. Ouvrez la feuille de calcul, sélectionnez le deuxième onglet de feuille et examinez les éléments saisis. Renseignez les champs du formulaire, puis enregistrez votre fichier.
        Tableau 2. Importer un modèle
        Champ Description
        Nom de la règle Nom de la règle de détection.
        Actif Option permettant de spécifier si la règle de détection est active et déployée dans votre environnement.
        Capteur d’alerte Intégration de sécurité par laquelle vous ingérez les données d’alerte ou d’événement telles que CarbonBlack, CrowdStrike, McAfee, etc.
        Catégorie Catégorie qui identifie le type de problème de sécurité.
        Commentaires Description de la règle de détection.
        Déconseillé Le mappage de la règle de détection est déconseillé.
        MITRE-ATT&CK ID de la technique MITRE-ATT&CK ID de la technique, par exemple T1546.008, pour les fonctions d’accessibilité.
        MITRE-ATT&CK ID tactique MITRE-ATT&CK ID de tactique, par exemple TA0003, pour Persistance.
        Nombre d’incidents de sécurité Nombre d’incidents de sécurité auxquels les techniques sont ajoutées. Ce nombre apparaît lorsque vous avez activé le déploiement automatique des informations à partir des règles d’alerte vers les incidents de sécurité et que la règle de MITRE-ATT&CK détection est active.
        Source Source de l’incident de sécurité, telle que l’e-mail, le pare-feu, la surveillance réseau, etc.
        Sous-catégorie Sous-catégorie qui précise le problème.
        MITRE-ATT&CK Tactique Tactique pertinente MITRE-ATT&CK .
        MITRE-ATT&CK La technique Technique pertinente MITRE-ATT&CK .

        L’illustration suivante montre le modèle de feuille de calcul. Les champs obligatoires sont surlignés en rouge : nom de la règle, MITRE-ATT&CK ID tactique et MITRE-ATT&CK ID technique.

        Mettez à jour les détails du mappage dans le modèle de feuille de calcul.

      6. Cliquez sur Choisir un fichier et sélectionnez la feuille de calcul sur votre ordinateur.
      7. Cliquez sur Charger.
      8. Cliquez sur Prévisualiser les données importées.
      9. Prévisualisez les mappages, puis cliquez sur Terminer l’importation.

        L’illustration suivante montre comment charger la feuille de calcul, prévisualiser les données, examiner toutes les erreurs et terminer le processus d’importation du mappage des règles de détection.

        Chargez la feuille de calcul pour terminer le mappage des règles de détection.