Erkennungsregeln erstellen und zuordnen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Erstellen Sie Erkennungsregeln, und ordnen Sie sie den Taktiken und Techniken zu. Mit dieser Zuordnung können Sie die Abdeckung für die Erkennungsregeln in Ihrer Organisation anzeigen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Erstellungs-, Schreib-, Löschzugriff
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Mithilfe der Zuordnung von Erkennungsregeln kann Ihr Unternehmen sehen, welche Erkennungsregeln zur Identifizierung bestimmter Techniken verfügbar sind.

    Der Hauptzweck der Zuordnung besteht darin, Transparenz zu schaffen, wenn Ihre Organisation über die erforderlichen Erkennungsregeln verfügt, um zu identifizieren, wenn eine Warnung oder ein Ereignis infolge eines Angriffs eines Angreifers mit einer bestimmten Technik ausgelöst wird.

    Betrachten Sie beispielsweise die folgende Abbildung, die eine Liste der Erkennungsregeln zeigt, die verschiedenen Techniken zugeordnet sind. Sie können diese Informationen auch in anzeigen der/die/das MITRE-ATT&CK -Navigator.

    MITRE ATT&CK-Erkennungsregeln.

    Wenn Sie die automatischen SIEM-Extraktionsregeln des Basissystems nicht verwenden möchten, aktivieren Sie das automatische Rollup von MITRE-ATT&CK TTPs basierend auf der Erkennungsregelzuordnung. Sie können die Warnungs- oder Ereignisregel, die den Security Incident auslöst, im Feld Name der Warnungsregel ausfüllen. Sie können das Feld „Warnungsregelname “ auch ausfüllen, indem Sie die SIEM-Integration, E-Mail-Analyse, manuelle Erstellung usw. verwenden. Weitere Informationen finden Sie unter Rollup der Informationen MITRE-ATT&CK aus Erkennungsregeln.

    Hinweis:

    Die Funktion „Erkennungsregeln“ wurde aktualisiert und umfasst nun die Zuordnung einer einzelnen Taktik zu mehreren Techniken. Zuvor konnten Sie eine einzelne Taktik einer einzelnen Technik zuordnen. Wenn Sie das Plugin Threat Intelligence von Version 12.0.4 auf eine höhere Version aktualisieren, lesen Sie die folgenden Punkte, bevor Sie die Erkennungsregeln im Modul MITRE-ATT&CK verwenden.

    • Sie finden mehrere Datensätze in einem einzigen Datensatz zusammengeführt, wenn die Felder Regelname, Warnungssensor, Quelle, Kategorie, Unterkategorie und Taktik MITRE-ATT&CK allgemein sind.
    • Die alten Datensätze werden in der Spalte „veraltet“ als „wahr“ und in der Spalte „aktiv“ als „falsch“ markiert.
    • Die neuen zusammengeführten Datensätze können verwendet werden und sind in der Spalte „veraltet“ als falsch und in der Spalte aktiv als wahr markiert.
    • Nachdem Sie das Upgrade verifiziert haben und feststellen, dass alle Ihre Erkennungsregeln erfolgreich migriert wurden, können Sie die alten Datensätze löschen, die in der Spalte veraltet als true markiert sind.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Erkennungsregeln – MITRE ATT&CK-Zuordnungen.
    2. Verwenden Sie eine der folgenden Methoden, um Ihre Erkennungsregel zu erstellen:
      Methode 1: Erstellen Sie manuell Erkennungsregeln.
      1. Klicken Sie auf Neu und füllen Sie im Formular die Felder aus.
        Tabelle : 1. Erkennungsregeln – Zuordnung MITRE-ATT&CK .
        Feld Beschreibung
        Regelname Name der Erkennungsregel.
        MITRE-ATT&CK Taktik Relevante MITRE-ATT&CK -Taktik.
        MITRE-ATT&CK Techniken Relevante MITRE-ATT&CK -Technik. Sie können mehrere Techniken für eine einzige Taktik auswählen.
        Quelle Quelle des Security Incidents, z. B. E-Mail, Firewall, Netzwerküberwachung usw.
        Warnungssensor Sicherheitsintegration, über die Sie Warnungs- oder Ereignisdaten wie CarbonBlack, CrowdStrike, McAfee usw. erfassen.
        Unterkategorie Unterkategorie, die das Problem weiter definiert.
        Kategorie Kategorie, die den Typ des Sicherheitsproblems identifiziert.
        MITRE-ATT&CK Technik Relevante MITRE-ATT&CK -Technik. Sie können mehrere Techniken für eine einzige Taktik auswählen.
        Anzahl der Security Incidents Die Anzahl der Security Incidents, an die die Techniken angehängt sind. Diese Anzahl wird angezeigt, wenn Sie das automatische Rollup von Informationen über MITRE-ATT&CK aus Warnungsregeln für Security Incidents aktiviert haben.
        Überholt Die Erkennungsregelzuordnung ist veraltet.
        Aktiv Option, um anzugeben, ob die Erkennungsregel aktiv ist und in Ihrer Umgebung bereitgestellt wird.

        Beispiel für Erkennungsregeln.

      2. Klicken Sie auf Absenden.
      Methode 2: Erkennungsregeln importieren und erstellen.
      1. Klicken Sie mit der rechten Maustaste auf den Spaltenheader Regelname.
      2. Klicken Sie in der Liste auf Importieren.
      3. Klicken Sie auf Excel-Vorlage erstellen.
      4. Klicken Sie nach Abschluss des Exports auf Download. Eine Excel-Vorlage mit dem Dateinamen sn_ti_alert_rules_mitre_attack_technique_mapping wird auf Ihren Computer heruntergeladen.

        In der folgenden Abbildung sehen Sie, wie Sie die Excel-Vorlage exportieren, die Details in die Tabelle eintragen, die Datei hochladen, eine Vorschau der Felder anzeigen und sie dann wieder in Now Platformimportieren.

        MITRE-Download-Importvorlage.
      5. Öffnen Sie die Tabelle, wählen Sie die zweite Blattregisterkarte aus, und überprüfen Sie Ihre Eingaben. Füllen Sie die Felder des Formulars aus, und speichern Sie dann Ihre Datei.
        Tabelle : 2. Vorlage importieren
        Feld Beschreibung
        Regelname Name der Erkennungsregel.
        Aktiv Option, um anzugeben, ob die Erkennungsregel aktiv ist und in Ihrer Umgebung bereitgestellt wird.
        Warnungssensor Sicherheitsintegration, über die Sie Warnungs- oder Ereignisdaten wie CarbonBlack, CrowdStrike, McAfee usw. erfassen.
        Kategorie Kategorie, die den Typ des Sicherheitsproblems identifiziert.
        Kommentare Beschreibung der Erkennungsregel.
        Überholt Die Erkennungsregelzuordnung ist veraltet.
        MITRE-ATT&CK Technik-IDs MITRE-ATT&CK Technik-ID, z. B. T1546.008, für Barrierefreiheitsfunktionen.
        MITRE-ATT&CK Taktik-ID MITRE-ATT&CK Taktik-ID, z. B. TA0003, für Persistenz.
        Anzahl der Security Incidents Die Anzahl der Security Incidents, an die die Techniken angehängt sind. Diese Anzahl wird angezeigt, wenn Sie das automatische Rollup von Informationen über MITRE-ATT&CK aus Warnungsregeln für Security Incidents aktiviert haben und die Erkennungsregel aktiv ist.
        Quelle Quelle des Security Incidents, z. B. E-Mail, Firewall, Netzwerküberwachung usw.
        Unterkategorie Unterkategorie, die das Problem weiter definiert.
        MITRE-ATT&CK Taktik Relevante MITRE-ATT&CK -Taktik.
        MITRE-ATT&CK Technik Relevante MITRE-ATT&CK -Technik.

        Die folgende Abbildung zeigt die Tabellenvorlage. Die Pflichtfelder sind rot hervorgehoben: Regelname, MITRE-ATT&CK Taktik-ID und MITRE-ATT&CK Technik-ID.

        Aktualisieren Sie die Zuordnungsdetails in der Tabellenvorlage.

      6. Klicken Sie auf Datei auswählen, und wählen Sie die Tabelle auf Ihrem Computer aus.
      7. Klicken Sie auf Hochladen.
      8. Klicken Sie auf Vorschau der importierten Daten anzeigen.
      9. Zeigen Sie eine Vorschau der Zuordnungen an, und klicken Sie auf Import abschließen.

        Die folgende Abbildung zeigt, wie Sie die Tabelle hochladen, eine Vorschau der Daten anzeigen, Fehler überprüfen und den Importvorgang für die Erkennungsregelzuordnung abschließen.

        Laden Sie die Tabelle hoch, um die Zuordnung der Erkennungsregel abzuschließen.