Créer et mapper des règles de détection

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Créez des règles de détection et associez-les aux tactiques et techniques. Avec ce mappage, vous pouvez voir la couverture des règles de détection dans votre organisation.

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer l’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    Le mappage des règles de détection permet à votre organisation de voir quelles règles de détection sont disponibles pour identifier des techniques spécifiques.

    L’objectif principal du mappage est de fournir une visibilité si votre organisation dispose des règles de détection nécessaires pour identifier quand une alerte ou un événement est déclenché à la suite d’une attaque par un adversaire utilisant une technique spécifique.

    Par exemple, consultez l’illustration suivante qui présente une liste des règles de détection mappées à diverses techniques. Vous pouvez également afficher ces informations dans le ou la MITRE-ATT&CK navigateur.

    Règles de détection MITRE ATT&CK.

    Si vous n’avez pas l’intention d’utiliser les règles d’extraction automatique du SIEM du système de base, activez le déploiement automatique des TTP en fonction du mappage de la règle de MITRE-ATT&CK détection. Vous pouvez renseigner l’alerte ou la règle d’événement qui déclenche l’incident de sécurité dans le champ Nom de la règle d’alerte . Vous pouvez également renseigner le champ Nom de la règle d’alerte à l’aide de l’intégration SIEM, de l’analyse des e-mails, de la création manuelle... Pour plus d'informations, consultez Informations de MITRE-ATT&CK déploiement à partir des règles de détection.

    Remarque :

    La fonctionnalité de règles de détection a été mise à jour pour inclure le mappage d’une seule tactique à plusieurs techniques. Auparavant, vous pouviez associer une seule tactique à une seule technique. Si vous mettez à niveau le module d’extension de la Renseignements sur les menaces version 12.0.4 vers une version supérieure, passez en revue les points suivants avant d’utiliser les règles de détection dans MITRE-ATT&CK le module.

    • Vous trouvez plusieurs enregistrements fusionnés en un seul enregistrement si les champs (nom de la règle, capteur d’alerte, source, catégorie, sous-catégorie et MITRE-ATT&CK tactique) sont communs.
    • Les anciens enregistrements sont marqués comme vrais dans la colonne déconseillée et faux dans la colonne active.
    • Les nouveaux enregistrements fusionnés sont disponibles pour utilisation et sont marqués comme faux dans la colonne déconseillée et vrai dans la colonne active.
    • Une fois que vous avez vérifié la mise à niveau et constaté que toutes vos règles de détection ont correctement été migrées, vous pouvez supprimer les anciens enregistrements marqués comme vrais dans la colonne Déconseillé.

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Administration MITRE ATT&CK > Règles de détection : Mappages MITRE ATT&CK.
    2. Utilisez l’une des méthodes suivantes pour créer votre règle de détection :
      Méthode 1 : créer manuellement des règles de détection.
      1. Cliquez sur Nouveau et remplissez les champs sur le formulaire.
        Tableau 1. Règles de détection : MITRE-ATT&CK mappage
        Champ Description
        Nom de la règle Nom de la règle de détection.
        MITRE-ATT&CK Tactique Tactique pertinente MITRE-ATT&CK .
        MITRE-ATT&CK Les techniques Technique pertinente MITRE-ATT&CK . Vous pouvez sélectionner plusieurs techniques pour une seule tactique.
        Source Source de l’incident de sécurité, telle que la messagerie, le pare-feu, la surveillance du réseau, etc.
        Capteur d'alerte Intégration de sécurité via laquelle vous ingérez les données d’alerte ou d’événement telles que CarbonBlack, CrowdStrike, McAfee, etc.
        Sous-catégorie Sous-catégorie qui précise le problème.
        Catégorie Catégorie qui identifie le type de problème de sécurité.
        MITRE-ATT&CK Technique Technique pertinente MITRE-ATT&CK . Vous pouvez sélectionner plusieurs techniques pour une seule tactique.
        Nombre d’incidents de sécurité Nombre d’incidents de sécurité auxquels les techniques sont ajoutées. Ce nombre s’affiche lorsque vous avez activé le déploiement automatique des MITRE-ATT&CK informations des règles d’alerte aux incidents de sécurité.
        Déconseillé Le mappage de la règle de détection est déconseillé.
        Actif Option permettant de spécifier si la règle de détection est active et déployée dans votre environnement.

        Exemple de règles de détection.

      2. Cliquez sur Envoyer.
      Méthode 2 : importer et créer des règles de détection.
      1. Cliquez avec le bouton droit sur l’en-tête de colonne Nom de la règle.
      2. Dans la liste, cliquez sur Importer.
      3. Cliquez sur Créer un modèle Excel.
      4. Cliquez sur Télécharger une fois l’exportation terminée. Un modèle Excel portant le nom de fichier sn_ti_alert_rules_mitre_attack_technique_mapping est téléchargé sur votre ordinateur.

        Dans l’illustration suivante, vous voyez comment exporter le modèle Excel, renseigner les détails dans la feuille de calcul, charger le fichier, prévisualiser les champs et le réimporter dans le Now Platformfichier .

        Modèle d’importation de téléchargement MITRE.
      5. Ouvrez la feuille de calcul, sélectionnez le deuxième onglet de feuille et vérifiez ce que vous avez saisi. Renseignez les champs du formulaire, puis enregistrez votre fichier.
        Tableau 2. Importer un modèle
        Champ Description
        Nom de la règle Nom de la règle de détection.
        Actif Option permettant de spécifier si la règle de détection est active et déployée dans votre environnement.
        Capteur d'alerte Intégration de sécurité via laquelle vous ingérez les données d’alerte ou d’événement telles que CarbonBlack, CrowdStrike, McAfee, etc.
        Catégorie Catégorie qui identifie le type de problème de sécurité.
        Commentaires Description de la règle de détection.
        Déconseillé Le mappage de la règle de détection est déconseillé.
        MITRE-ATT&CK ID de la technique MITRE-ATT&CK ID de technique, par exemple T1546.008, pour les fonctions d’accessibilité.
        MITRE-ATT&CK ID tactique MITRE-ATT&CK ID de tactique, par exemple TA0003, pour Persistance.
        Nombre d’incidents de sécurité Nombre d’incidents de sécurité auxquels les techniques sont ajoutées. Ce nombre s’affiche lorsque vous avez activé le déploiement automatique des MITRE-ATT&CK informations des règles d’alerte vers les incidents de sécurité et que la règle de détection est active.
        Source Source de l’incident de sécurité, telle que la messagerie, le pare-feu, la surveillance du réseau, etc.
        Sous-catégorie Sous-catégorie qui précise le problème.
        MITRE-ATT&CK Tactique Tactique pertinente MITRE-ATT&CK .
        MITRE-ATT&CK Technique Technique pertinente MITRE-ATT&CK .

        L’illustration suivante montre le modèle de feuille de calcul. Les champs obligatoires sont mis en évidence en rouge : nom de la règle, MITRE-ATT&CK ID de tactique et MITRE-ATT&CK ID de technique.

        Mettez à jour les détails du mappage dans le modèle de feuille de calcul.

      6. Cliquez sur Choisir un fichier et sélectionnez la feuille de calcul sur votre ordinateur.
      7. Cliquez sur Charger.
      8. Cliquez sur Prévisualiser les données importées.
      9. Prévisualisez les mappages et cliquez sur Terminer l’importation.

        L’illustration suivante montre comment charger la feuille de calcul, prévisualiser les données, examiner les erreurs éventuelles et terminer le processus d’importation du mappage des règles de détection.

        Chargez la feuille de calcul pour terminer le mappage de la règle de détection.