Technikregeln für den Import automatisch extrahieren MITRE-ATT&CKInformationen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer
  • Verwenden Sie die automatischen Extraktionsregeln des Basissystems, um zu importieren MITRE-ATT&CKInformationen aus vorhandenen Drittpartei-Integrationen.

    Verwenden Sie automatische Extraktionsregeln für die Bedrohungssuche

    Verwenden Sie die automatischen Extraktionsregeln für die Bedrohungssuche, um zu importieren MITRE-ATT&CKInformationen aus vorhandenen Threat IntelligenceDrittpartei-Integrationen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Zugriff erstellen, schreiben, löschen
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn vorhanden Threat IntelligenceDie Integration, z. B. Sandbox oder ein TIPP, unterstützt MITRE-ATT&CKFramework und wenn MITRE-ATT&CKInformationen werden auf jeder Integrationsebene analysiert, und dann werden die Informationen in jedem Ergebnisdatensatz der Bedrohungssuche angezeigt. Jedoch nicht alle Threat IntelligenceIntegrationen analysieren MITRE-ATT&CKInformationen. Die globale automatische Extraktionsregel für die Bedrohungssuche kann extrahiert werden MITRE-ATT&CKInformationen von allen Threat IntelligenceIntegrationen.

    Sie können einen Rollup für auswählen MITRE-ATT&CKAutomatisch Informationen aus den Ergebnissen der Bedrohungssuche zu einem Security Incident. Für das automatische Rollup von Ergebnissen der Bedrohungssuche zu Security Incidents, Aktivieren Sie die Systemeigenschaft . Alternativ können Sie es rollup der Informationen manuell Für jede einzelne Bedrohungssuche.

    Das Basissystem Threat IntelligenceExtrahiert automatisch MITRE-ATT&CKInformationen aus der Rohnutzlast der Drittpartei-Integrationen zum Datensatz des Bedrohungssuchergebnisses, wenn vorhanden Threat IntelligenceDie Integration bietet Ihnen MITRE-ATT&CKInformationen wie die Technik oder Taktik.

    Wenn MITRE-ATT&CKInformationen sind im Feld „Rohnutzlast“ des Bedrohungssuchdatensatzes nicht verfügbar. Dann müssen Sie Ihre eigene Regel für die automatische Extraktion aus der Drittpartei-Integration definieren.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Extraktionsregel für Technikan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Extraktionsregelformular für Technik
      Feld Beschreibung
      Name Name der automatischen Extraktionsregel.
      Regeltyp Regeltyp für automatische Extraktion. Wählen Sie Aus Bedrohungssuche .
      Automatische Extraktion ignorieren Einstellung, die standardmäßig gelöscht ist. Diese Einstellung ermöglicht die automatische Extraktion von MITRE-ATT&CKTechniken.
      Quell-Engine Quell-Engine.
      Global Quell-Engine-Einstellung. Wenn Sie die Quell-Engine auf festlegen Global , Die Extraktion wird für alle Integrationsergebnisse der Bedrohungssuche ausgeführt.
      Beschreibung Beschreibung der automatischen Extraktionsregel.
      Prozessmethode Regulärer Ausdruck oder eine Skriptmethode, die Sie angeben, um die Technikinformationen aus der Rohnutzlast zu verknüpfen.
      Extraktion des regulären Ausdrucks Option, die Sie für angeben Zielfeld Bei Verwendung der Extraktionsmethode des regulären Ausdrucks. Regulärer Ausdruck ist der Standard.
      Skriptextraktion Prozess, den Sie beim Ausführen eines Skripts auswählen. Das Skript überprüft Folgendes:
      • ThreLookupResultSysId:sys_ID des Ergebnisdatensatzes der Bedrohungssuche
      • SourceName: Name der Quelle für die Bedrohungssuche.
      Taktik-Extraktion Option, die Sie angeben, um taktikbezogene Informationen aus der Rohnutzlast zu extrahieren. Wenn eine Nutzlast bestimmte taktische und technikbezogene Informationen enthält, können Sie die Informationen extrahieren und an den Security Incident anhängen.
    4. Klicken Sie auf Absenden.

    Verwenden Sie automatische SIEM-Extraktionsregeln

    Verwenden Sie die automatischen SIEM-Extraktionsregeln, um zu importieren MITRE-ATT&CKInformationen aus vorhandenen Security OperationsSIEM-Drittpartei-Integrationen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Zugriff erstellen, schreiben, löschen
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Die Technik-Extraktionsregel ist für alle Basissysteme verfügbar Security OperationsSIEM-Integrationen wie Splunk, IBM QRadar und ArcSight-Integrationen. Wenn Now PlatformErfasst Warnungs- oder Ereignisdaten aus diesen SIEM-Integrationen und enthält sie MITRE-ATT&CKInformationen, Now PlatformVerarbeitet die Rohnutzlast und extrahiert automatisch MITRE-ATT&CKInformationen.

    Wenn Sie Now PlatformEnthält SIEM-Integrationen des Basissystems, d. h., die Extraktionsregeln für Technik wurden bereits in erstellt MITRE-ATT&CKModul. Sie sollten die Regeln nach Bedarf überprüfen und ändern.

    Aktivieren Sie entweder die automatische SIEM-Extraktionsregel oder die Warnungsregel gleichzeitig.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Extraktionsregel für Technikan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 2. Extraktionsregelformular für Technik
      Feld Beschreibung
      Name Name der automatischen Extraktionsregel.
      Regeltyp Regeltyp für automatische Extraktion. Wählen Sie Aus SIEM .
      Automatische Extraktion ignorieren Einstellung, die standardmäßig gelöscht ist. Diese Einstellung ermöglicht die automatische Extraktion von MITRE-ATT&CKTechniken.
      Tabelle importieren Importtabelle, die automatisch für SIEM-Integrationen des Basissystems zugeordnet wird. Überprüfen Sie dieses Feld auf andere SIEM-Integrationen für MITRE-ATT&CKInformationen und Zuordnung entsprechend.
      Feld importieren Importfeld, das automatisch für SIEM-Integrationen des Basissystems zugeordnet wird. Überprüfen Sie dieses Feld auf andere SIEM-Integrationen für MITRE-ATT&CKInformationen und Zuordnung entsprechend.
      Beschreibung Regel für automatische Extraktion.
      Prozessmethode Regulärer Ausdruck oder eine Skriptmethode, die Sie angeben, um die Technikinformationen aus der Rohnutzlast zu verknüpfen.
      Extraktion des regulären Ausdrucks Option, die Sie für angeben Zielfeld Bei Verwendung der Methode des regulären Ausdrucks. Die Extraktion des regulären Ausdrucks ist die Standardprozessmethode.
      Skriptextraktion Skriptprozessmethode, die Sie verwenden, wenn Sie anpassen möchten, wie MITRE-ATT&CKInformationen werden extrahiert.
      Taktik-Extraktion Option, die Sie angeben, um taktikbezogene Informationen aus der Rohnutzlast zu extrahieren. Wenn eine Nutzlast bestimmte taktische und technikbezogene Informationen enthält, können Sie die Informationen extrahieren und an den Security Incident anhängen.

      In der folgenden Abbildung sehen Sie ein Beispiel für Splunk EnterpriseExtraktionsregel für SIEM-Technik in der Formularansicht. Diese Regel ähnelt allen anderen Extraktionsregeln für SIEM-Techniken.

      Extraktionsregel für Splunk-Technik.
    4. Klicken Sie auf Absenden.