Informations de déploiement MITRE-ATT&CK à partir de règles de détection

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Activez le déploiement des MITRE-ATT&CK informations des règles de détection vers les incidents de sécurité pour une meilleure analyse des incidents de sécurité et des menaces.

    Avant de commencer

    Rôle requis : aucun.

    Assurez-vous d’avoir :
    • Activez le déploiement automatique des informations MITRE ATT&ACK à partir des règles d’alerte vers la propriété d’incidents de sécurité dans le module Propriétés. Par défaut, cette option est désactivée. Pour plus d’informations, consultez Examiner les propriétés système MITRE-ATT&CK.
    • Effectuez le mappage des règles de détection sur MITRE-ATT&CK les TTP dans le module de mappage TTP Règles de détection : MITRE ATT&CK . Le nom de la règle de détection doit correspondre au nom de la règle d’alerte qui déclenche l’incident de sécurité. Pour plus d'informations, consultez Créer et mapper des règles de détection.

    Pourquoi et quand exécuter cette tâche

    Si vous n’avez pas l’intention d’utiliser les règles d’extraction automatique du SIEM du système de base, activez le déploiement automatique des TTP en fonction du mappage de la règle de MITRE-ATT&CK détection. Vous pouvez renseigner la règle d’alerte ou d’événement qui déclenche l’incident de sécurité dans le champ Nom de la règle d’alerte . Vous pouvez également renseigner le champ Nom de la règle d’alerte à l’aide de l’intégration SIEM, de l’analyse des e-mails, de la création manuelle, etc.

    Procédure

    1. Accédez à la Administration MITRE ATT&CK > Propriétés.
    2. Activez le déploiement automatique des informations MITRE ATT&ACK à partir de la propriété Règles d’alerte vers les incidents de sécurité, puis cliquez sur Enregistrer.
      Par défaut, cette option est désactivée.
    3. Vous devez renseigner le champ Nom de la règle d’alerte de l’incident de sécurité avec les règles d’alerte requises.
      Remarque :
      Assurez-vous d’ajouter le nom exact de la règle d’alerte . Pour ajouter plusieurs règles, vous devez les ajouter à l’aide d’un séparateur de virgules.
    4. Cliquez avec le bouton droit sur le formulaire, puis cliquez sur Enregistrer.
      Si la valeur du nom de la règle d’alerte dans l’incident de sécurité correspond à un enregistrement dans le module Règle de détection : mappage TTP MITRE ATT&CK, les techniques et tactiques correspondantes associées à la règle d’alerte sont automatiquement liées à l’incident de sécurité.

      Cette illustration montre comment déployer des informations MITRE à partir des règles de détection vers un incident de sécurité.

    5. Ouvrez l’incident de sécurité, sélectionnez la carte MITRE ATT&CK et validez si les techniques sont déployées.
    6. Activez l’option Afficher l’origine des techniques pour afficher l’origine des techniques.
      L’origine des techniques doit être la règle de détection.