Règles de la technique d’extraction automatique pour l’importation d’informations MITRE-ATT&CK

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Utilisez les règles d’extraction automatique du système de base pour importer les informations à partir de n’importe MITRE-ATT&CK quelle intégration tierce existante.

    Utiliser les règles d’extraction automatique de la recherche de menaces

    Utilisez les règles d’extraction automatique de la recherche de menaces pour importer les MITRE-ATT&CK informations à partir de toute intégration tierce existante Renseignements sur les menaces .

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer l’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    Lorsqu’une Renseignements sur les menaces intégration, telle que Sandbox ou TIP, prend en charge le cadre de MITRE-ATT&CK travail et si les informations sont analysées à chaque niveau d’intégration MITRE-ATT&CK , les informations sont affichées dans chaque enregistrement de résultat de recherche de menace. Cependant, toutes les Renseignements sur les menaces intégrations n’analysent pas les MITRE-ATT&CK informations. La règle d’extraction automatique globale de la recherche de menaces peut extraire MITRE-ATT&CK des informations de toutes les Renseignements sur les menaces intégrations.

    Vous pouvez choisir de déployer automatiquement les MITRE-ATT&CK informations des résultats de la recherche de menaces vers un incident de sécurité. Pour le déploiement automatique des résultats de la recherche de menaces sur les incidents de sécurité, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque recherche de menace.

    Le système Renseignements sur les menaces de base extrait automatiquement les informations de la MITRE-ATT&CK charge utile brute des intégrations tierces vers l’enregistrement de résultat de la recherche de menace, si l’intégration Renseignements sur les menaces vous fournit des MITRE-ATT&CK informations telles que la technique ou la tactique.

    Si les MITRE-ATT&CK informations ne sont pas disponibles dans le champ de charge utile brute de l’enregistrement de recherche de menace, vous devez définir votre propre règle d’extraction automatique à partir de l’intégration tierce.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Administration MITRE ATT&CK > Règle d'extraction de la technique.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 1. Formulaire Règle d’extraction de technique
      Champ Description
      Nom Nom de la règle d’extraction automatique.
      Type de règle Type de règle d’extraction automatique. Sélectionnez Recherche de menace.
      Ignorer l'extraction automatique Le paramètre par défaut est effacé. Ce paramètre permet l’extraction automatique des MITRE-ATT&CK techniques.
      Moteur source Moteur source.
      Global Paramètre du moteur source. Lorsque vous définissez le moteur source sur Global, l’extraction s’exécute sur tous les résultats d’intégration de la recherche de menaces.
      Description Description de la règle d’extraction automatique.
      Méthode de traitement Regex ou méthode de script que vous spécifiez pour lier les informations de la technique à partir de la charge utile brute.
      Extraction Regex Option que vous spécifiez pour le champ cible lors de l’utilisation de la méthode d’extraction regex. Regex est la valeur par défaut.
      Extraction de script Processus que vous sélectionnez lors de l’exécution d’un script. Le script passe en revue les éléments suivants :
      • threatLookupResultSysId : sys_id de l’enregistrement du résultat de la recherche de menace
      • sourceName : nom de la source de recherche de menace.
      Extraction tactique Option que vous spécifiez pour extraire des informations liées à la tactique de la charge utile brute. Si une charge utile contient des informations spécifiques liées à des tactiques et à des techniques, vous pouvez extraire les informations et les annexer à l’incident de sécurité.
    4. Cliquez sur Envoyer.

    Utiliser les règles d’extraction automatique SIEM

    Utilisez les règles d’extraction automatique SIEM pour importer les MITRE-ATT&CK informations à partir de toutes les intégrations tierces SIEM existantes Opérations de sécurité .

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer l’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    La règle d’extraction technique est disponible pour toutes les intégrations SIEM du système Opérations de sécurité de base telles que Splunk, IBM QRadar et ArcSight. Lorsque l’utilisateur ingère des données d’alerte ServiceNow AI Platform ou d’événement à partir de ces intégrations SIEM et qu’elles contiennent MITRE-ATT&CK des informations, traite ServiceNow AI Platform la charge utile brute et extrait automatiquement les MITRE-ATT&CK informations.

    Si votre ServiceNow AI Platform contient des intégrations SIEM du système de base, cela signifie que les règles d’extraction de technique sont déjà créées dans le MITRE-ATT&CK module. Vous devez examiner et modifier les règles selon vos besoins.

    Activer la règle d’extraction automatique SIEM ou la règle d’alerte à la fois.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Administration MITRE ATT&CK > Règle d'extraction de la technique.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 2. Formulaire Règle d’extraction de technique
      Champ Description
      Nom Nom de la règle d’extraction automatique.
      Type de règle Type de règle d’extraction automatique. Sélectionnez SIEM.
      Ignorer l'extraction automatique Le paramètre qui est effacé par défaut. Ce paramètre permet l’extraction automatique des MITRE-ATT&CK techniques.
      Importer la table Table d’importation automatiquement mappée pour les intégrations SIEM du système de base. Examinez ce champ pour d’autres intégrations SIEM pour obtenir des informations et mappez MITRE-ATT&CK en conséquence.
      Champ d'importation Champ d’importation automatiquement mappé pour les intégrations SIEM du système de base. Examinez ce champ pour d’autres intégrations SIEM pour obtenir des informations et mappez MITRE-ATT&CK en conséquence.
      Description Règle d’extraction automatique.
      Méthode de traitement Regex ou méthode de script que vous spécifiez pour lier les informations de la technique à partir de la charge utile brute.
      Extraction Regex Option que vous spécifiez pour le champ cible lors de l’utilisation de la méthode regex. L’extraction regex est la méthode de processus par défaut.
      Extraction de script Méthode de traitement de script que vous utilisez si vous souhaitez personnaliser la façon dont les MITRE-ATT&CK informations sont extraites.
      Extraction tactique Option que vous spécifiez pour extraire des informations liées à la tactique de la charge utile brute. Si une charge utile contient des informations spécifiques liées à des tactiques et à des techniques, vous pouvez extraire les informations et les annexer à l’incident de sécurité.

      Dans l’illustration suivante, vous voyez un exemple de règle d’extraction de la Splunk Enterprise technique SIEM dans la vue de formulaire. Cette règle est similaire à toutes les autres règles d’extraction de technique SIEM.

      Règle d’extraction de la technique Splunk.
    4. Cliquez sur Envoyer.