Créer et mapper des règles de détection

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 5 minutes de lecture

    • Créez des règles de détection et mappez-les par rapport aux tactiques et techniques. Avec ce mappage, vous pouvez voir la couverture des règles de détection dans votre organisation.

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer l’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    Le mappage de règles de détection permet à votre organisation de voir quelles règles de détection sont disponibles pour identifier des techniques spécifiques.

    L’objectif principal du mappage est de fournir une visibilité si votre organisation dispose des règles de détection nécessaires pour identifier quand une alerte ou un événement est déclenché à la suite d’une attaque par un adversaire à l’aide d’une technique spécifique.

    Par exemple, consultez l’illustration suivante qui montre une liste des règles de détection mappées à diverses techniques. Vous pouvez également afficher ces informations dans le ou la MITRE-ATT&CK navigateur.

    Règles de détection MITRE ATT&CK.

    Si vous n’avez pas l’intention d’utiliser les règles d’extraction automatique SIEM du système de base, activez le déploiement automatique des TTP en fonction du mappage de règles de MITRE-ATT&CK détection. Vous pouvez renseigner l’alerte ou la règle d’événement qui déclenche l’incident de sécurité dans le champ Nom de la règle d’alerte . Vous pouvez également renseigner le champ Nom de la règle d’alerte à l’aide de l’intégration SIEM, de l’analyse des e-mails, de la création manuelle, et autres. Pour plus d'informations, consultez Informations sur le MITRE-ATT&CK déploiement à partir des règles de détection.

    Remarque :

    La fonctionnalité de règles de détection a été mise à jour pour inclure le mappage d’une seule tactique à plusieurs techniques. Auparavant, vous pouviez cartographier une seule tactique avec une seule technique. Si vous mettez à niveau le module d’extension de la Renseignements sur les menaces version 12.0.4 vers une version supérieure, passez en revue les points suivants avant d’utiliser les règles de détection dans MITRE-ATT&CK le module.

    • Vous trouverez plusieurs enregistrements fusionnés en un seul enregistrement si les champs Nom de la règle, Capteur d’alerte, Source, Catégorie, Sous-catégorie et MITRE-ATT&CK Tactique sont communs.
    • Les anciens enregistrements sont marqués comme vrai dans la colonne déconseillée et faux dans la colonne active.
    • Les nouveaux enregistrements fusionnés sont disponibles pour utilisation et sont marqués comme faux dans la colonne déconseillée et vrai dans la colonne active.
    • Après avoir vérifié la mise à niveau et constaté que toutes vos règles de détection sont correctement migrées, vous pouvez supprimer les anciens enregistrements marqués comme vrais dans la colonne Déconseillée.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Administration MITRE ATT&CK > Règles de détection : Mappages MITRE ATT&CK.
    2. Utilisez l’une des méthodes suivantes pour créer votre règle de détection :
      Méthode 1 : créer manuellement des règles de détection.
      1. Cliquez sur Nouveau puis, renseignez les champs du formulaire.
        Tableau 1. Règles de détection : MITRE-ATT&CK mappage
        Champ Description
        Nom de la règle Nom de la règle de détection.
        MITRE-ATT&CK Tactique Tactique pertinente MITRE-ATT&CK .
        MITRE-ATT&CK Techniques techniques Technique pertinente MITRE-ATT&CK . Vous pouvez sélectionner plusieurs techniques pour une seule tactique.
        Source Source de l’incident de sécurité, comme l’e-mail, le pare-feu, la surveillance du réseau, etc.
        Capteur d'alerte Intégration de sécurité par laquelle vous ingérez les données d’alerte ou d’événement, par exemple CarbonBlack, CrowdStrike, McAfee, etc.
        Sous-catégorie Sous-catégorie qui précise le problème.
        Catégorie Catégorie qui identifie le type de problème de sécurité.
        MITRE-ATT&CK Technique Technique pertinente MITRE-ATT&CK . Vous pouvez sélectionner plusieurs techniques pour une seule tactique.
        Nombre d'incidents de sécurité Nombre d’incidents de sécurité auxquels les techniques sont ajoutées. Ce nombre apparaît lorsque vous avez activé le déploiement automatique des informations des règles d’alerte vers les incidents de MITRE-ATT&CK sécurité.
        Déconseillé Le mappage de règle de détection est obsolète.
        Actif Option permettant de spécifier si la règle de détection est active et déployée dans votre environnement.

        Exemple de règles de détection.

      2. Cliquez sur Envoyer.
      Méthode 2 : importez et créez des règles de détection.
      1. Cliquez avec le bouton droit sur l’en-tête de colonne Nom de la règle.
      2. À partir de la liste, cliquez sur Importer.
      3. Cliquez sur Créer un modèle Excel.
      4. Cliquez sur Télécharger une fois l’exportation terminée. Un modèle Excel contenant le nom de fichier sn_ti_alert_rules_mitre_attack_technique_mapping est téléchargé sur votre ordinateur.

        Dans l’illustration suivante, vous verrez comment exporter le modèle Excel, renseigner les détails dans la feuille de calcul, charger le fichier, prévisualiser les champs et le réimporter dans le ServiceNow AI Platform.

        Modèle d’importation de téléchargement MITRE.
      5. Ouvrez la feuille de calcul, sélectionnez le deuxième onglet de feuille et vérifiez ce que vous avez saisi. Renseignez les champs du formulaire, puis enregistrez votre fichier.
        Tableau 2. Importer un modèle
        Champ Description
        Nom de la règle Nom de la règle de détection.
        Actif Option permettant de spécifier si la règle de détection est active et déployée dans votre environnement.
        Capteur d'alerte Intégration de sécurité par laquelle vous ingérez les données d’alerte ou d’événement, par exemple CarbonBlack, CrowdStrike, McAfee, etc.
        Catégorie Catégorie qui identifie le type de problème de sécurité.
        Commentaires Description de la règle de détection.
        Déconseillé Le mappage de règle de détection est obsolète.
        MITRE-ATT&CK ID de la technique MITRE-ATT&CK ID de technique, tel que T1546.008, pour les fonctionnalités d’accessibilité.
        MITRE-ATT&CK ID tactique MITRE-ATT&CK ID tactique, tel que TA0003, pour Persistance.
        Nombre d'incidents de sécurité Nombre d’incidents de sécurité auxquels les techniques sont ajoutées. Ce nombre apparaît lorsque vous avez activé le déploiement automatique des informations des règles d’alerte vers les incidents de sécurité et que la règle de MITRE-ATT&CK détection est active.
        Source Source de l’incident de sécurité, comme l’e-mail, le pare-feu, la surveillance du réseau, etc.
        Sous-catégorie Sous-catégorie qui précise le problème.
        MITRE-ATT&CK Tactique Tactique pertinente MITRE-ATT&CK .
        MITRE-ATT&CK Technique Technique pertinente MITRE-ATT&CK .

        L’illustration suivante montre le modèle de feuille de calcul. Les champs requis sont surlignés en rouge : nom de la règle, MITRE-ATT&CK ID de tactique et MITRE-ATT&CK ID de technique.

        Mettez à jour les détails du mappage dans le modèle de feuille de calcul.

      6. Cliquez sur Choisir un fichier et sélectionnez la feuille de calcul sur votre ordinateur.
      7. Cliquez sur Charger.
      8. Cliquez sur Afficher un aperçu des données importées.
      9. Prévisualisez les mappages et cliquez sur Terminer l’importation.

        L’illustration suivante montre comment charger la feuille de calcul, prévisualiser les données, examiner les erreurs éventuelles et terminer le processus d’importation du mappage de règle de détection.

        Chargez la feuille de calcul pour terminer le mappage de la règle de détection.