Règles de la technique d’extraction automatique pour l’importation d’informations MITRE-ATT&CK

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Utilisez les règles d’extraction automatique du système de base pour importer les MITRE-ATT&CK informations à partir de toutes les intégrations tierces existantes.

    Utiliser des règles d’extraction automatique de la recherche de menaces

    Utilisez les règles d’extraction automatique de la recherche de menaces pour importer les MITRE-ATT&CK informations à partir de toutes les intégrations tierces existantes Renseignements sur les menaces .

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer l’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    Lorsqu’une Renseignements sur les menaces intégration, telle que Sandbox ou TIP, prend en charge le MITRE-ATT&CK cadre de travail et si les MITRE-ATT&CK informations sont analysées à chaque niveau d’intégration, elles s’affichent dans chaque enregistrement de résultat de recherche de menace. Cependant, toutes les Renseignements sur les menaces intégrations n’analysent pas les MITRE-ATT&CK informations. La règle d’extraction automatique globale de la recherche des menaces peut extraire MITRE-ATT&CK des informations de toutes les Renseignements sur les menaces intégrations.

    Vous pouvez choisir de déployer automatiquement les MITRE-ATT&CK informations à partir des résultats de la recherche de menace jusqu’à un incident de sécurité. Pour le déploiement automatique des résultats de la recherche de menaces sur les incidents de sécurité, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque recherche de menace.

    Le système Renseignements sur les menaces de base extrait automatiquement les informations de la MITRE-ATT&CK charge utile brute des intégrations tierces vers l’enregistrement des résultats de la recherche de menace, si l’intégration Renseignements sur les menaces vous fournit des informations telles que MITRE-ATT&CK la technique ou la tactique.

    Si les informations ne sont pas disponibles dans le MITRE-ATT&CK champ de charge utile brute de l’enregistrement de recherche de menace, vous devez définir votre propre règle pour l’extraction automatique à partir de l’intégration tierce.

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Administration MITRE ATT&CK > Règle d'extraction de la technique.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Règle d’extraction de technique
      Champ Description
      Nom Nom de la règle d’extraction automatique.
      Type de règle Type de règle d’extraction automatique. Sélectionnez Recherche de menace.
      Ignorer l'extraction automatique La définition par défaut est désactivée. Ce paramètre permet l’extraction automatique des MITRE-ATT&CK techniques.
      Moteur source Moteur source.
      Global Réglage du moteur source. Lorsque vous définissez le moteur source sur Global, l’extraction s’exécute sur tous les résultats d’intégration de recherche de menace.
      Description Description de la règle d’auto-extraction.
      Méthode de traitement Regex ou une méthode de script que vous spécifiez pour lier les informations de technique à partir de la charge utile brute.
      Regex Extraction Option que vous spécifiez pour le champ cible lors de l’utilisation de la méthode d’extraction regex. Regex est la valeur par défaut.
      Extraction de script Processus que vous sélectionnez lors de l’exécution d’un script. Le script passe en revue les éléments suivants :
      • threatLookupResultSysId :sys_id de l’enregistrement de résultat de la recherche de menace
      • sourceName : nom de la source de recherche de menaces.
      Extraction tactique Option que vous spécifiez pour extraire des informations relatives à la tactique à partir de la charge utile brute. Si une charge utile contient des informations spécifiques liées aux tactiques et techniques, vous pouvez extraire ces informations et les ajouter à l’incident de sécurité.
    4. Cliquez sur Envoyer.

    Utiliser les règles d’extraction automatique SIEM

    Utilisez les règles d’extraction automatique du SIEM pour importer les informations à partir de n’importe MITRE-ATT&CK quelle intégration tierce du SIEM existante Opérations de sécurité .

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer l’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    La règle d’extraction de la technique est disponible pour toutes les intégrations SIEM du système Opérations de sécurité de base telles que les intégrations Splunk, IBM QRadar et ArcSight. Lorsque l’équipe ingère des données d’alerte ou d’événement provenant de ces intégrations SIEM et qu’elles Now Platform contiennent MITRE-ATT&CK des informations, il Now Platform traite la charge utile brute et extrait automatiquement les MITRE-ATT&CK informations.

    Si votre Now Platform contient des intégrations SIEM du système de base, cela signifie que les règles d’extraction de technique sont déjà créées dans le MITRE-ATT&CK module. Vous devez examiner et modifier les règles si nécessaire.

    Activez la règle d’extraction automatique SIEM ou la règle d’alerte à la fois.

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Administration MITRE ATT&CK > Règle d'extraction de la technique.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Règle d’extraction de technique
      Champ Description
      Nom Nom de la règle d’extraction automatique.
      Type de règle Type de règle d’extraction automatique. Sélectionnez SIEM.
      Ignorer l'extraction automatique La définition par défaut est désactivée. Ce paramètre permet l’extraction automatique des MITRE-ATT&CK techniques.
      Importer la table Table d’importation automatiquement mappée pour les intégrations SIEM du système de base. Passez en revue ce champ pour d’autres intégrations SIEM afin d’obtenir des informations et effectuez une MITRE-ATT&CK mappage en conséquence.
      Champ d'importation Champ d’importation automatiquement mappé pour les intégrations SIEM du système de base. Passez en revue ce champ pour d’autres intégrations SIEM afin d’obtenir des informations et effectuez une MITRE-ATT&CK mappage en conséquence.
      Description Règle d’auto-extraction.
      Méthode de traitement Regex ou une méthode de script que vous spécifiez pour lier les informations de technique à partir de la charge utile brute.
      Regex Extraction Option que vous spécifiez pour le champ cible lors de l’utilisation de la méthode regex. L’extraction Regex est la méthode de traitement par défaut.
      Extraction de script Méthode de traitement de script que vous pouvez utiliser si vous souhaitez personnaliser la façon dont les MITRE-ATT&CK informations sont extraites.
      Extraction tactique Option que vous spécifiez pour extraire des informations relatives à la tactique à partir de la charge utile brute. Si une charge utile contient des informations spécifiques liées aux tactiques et techniques, vous pouvez extraire ces informations et les ajouter à l’incident de sécurité.

      Dans l’illustration suivante, vous verrez un exemple de règle d’extraction de la Splunk Enterprise technique SIEM dans la vue de formulaire. Cette règle est similaire à toutes les autres règles d’extraction de technique SIEM.

      Règle d’extraction de la technique Splunk.
    4. Cliquez sur Envoyer.