Informations sur le MITRE-ATT&CK déploiement à partir des règles de détection

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Activez le déploiement des informations des règles de détection vers les incidents de sécurité pour une meilleure analyse des incidents de sécurité et des MITRE-ATT&CK menaces.

    Avant de commencer

    Rôle requis : aucun.

    Assurez-vous d’avoir effectué les actions suivantes :
    • Activez automatiquement le déploiement des informations MITRE ATT&ACK des règles d’alerte vers la propriété Incidents de sécurité dans le module Propriétés . Par défaut, cette option est désactivée. Pour plus d’informations, consultez Examiner les propriétés système MITRE-ATT&CK.
    • Effectuez le mappage des règles de détection sur MITRE-ATT&CK les TTP dans le module de mappage Règles de détection - MITRE ATT&CK TTP . Le nom de la règle de détection doit correspondre au nom de la règle d’alerte qui déclenche l’incident de sécurité. Pour plus d'informations, consultez Créer et mapper des règles de détection.

    Pourquoi et quand exécuter cette tâche

    Si vous n’avez pas l’intention d’utiliser les règles d’extraction automatique SIEM du système de base, activez le déploiement automatique des TTP en fonction du mappage de règles de MITRE-ATT&CK détection. Vous pouvez renseigner l’alerte ou la règle d’événement qui déclenche l’incident de sécurité dans le champ Nom de la règle d’alerte . Vous pouvez également renseigner le champ Nom de la règle d’alerte à l’aide de l’intégration SIEM, de l’analyse des e-mails, de la création manuelle, etc.

    Procédure

    1. Accédez à la Administration MITRE ATT&CK > Propriétés.
    2. Activez la propriété Déployer automatiquement les informations MITRE ATT&ACK des règles d’alerte aux incidents de sécurité, puis cliquez sur Enregistrer.
      Par défaut, cette option est désactivée.
    3. Vous devez renseigner le champ Nom de la règle d’alerte de l’incident de sécurité avec les règles d’alerte requises.
      Remarque :
      Assurez-vous d’ajouter le nom exact de la règle d’alerte . Pour ajouter plusieurs règles, vous devez les ajouter à l’aide d’un séparateur de virgules.
    4. Cliquez avec le bouton droit sur le formulaire, puis cliquez sur Enregistrer.
      Si la valeur du nom de la règle d’alerte dans l’incident de sécurité correspond à un enregistrement dans le module de mappage Règle de détection - MITRE ATT&CK TTP, les techniques et tactiques correspondantes associées à la règle d’alerte sont automatiquement liées à l’incident de sécurité.

      Cette illustration montre comment déployer des informations MITRE des règles de détection vers un incident de sécurité.

    5. Ouvrez l’incident de sécurité, sélectionnez la carte MITRE ATT&CK et validez si les techniques sont déployées.
    6. Activez l’option Afficher l’origine des techniques pour afficher l’origine des techniques.
      L’origine des techniques doit être la règle de détection.