検出ルールの作成とマッピング

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • 検出ルールを作成し、戦術とテクニックに対してマッピングします。このマッピングを使用すると、組織内の検出ルールの対象範囲を確認できます。

    始める前に

    必要なロール:
    • sn_ti.admin、sn_si.admin:作成、書き込み、削除アクセス
    • sn_ti.read:読み取りアクセス

    このタスクについて

    検出ルールのマッピングにより、組織は特定のテクニックを識別できる検出ルールを確認できます。

    マッピングの主な目的は、特定のテクニックを使用して攻撃者から攻撃を受けたときにアラートまたはイベントをトリガーするタイミングを判断するのに必要な検出ルールが組織にある場合に、可視化することです。

    たとえば、さまざまなテクニックにマッピングされた検出ルールのリストを示す次の図を表示します。この情報は、 the MITRE-ATT&CK ナビゲーター.

    MITRE ATT&CK 検出ルール

    ベースシステムの SIEM 自動抽出ルールを使用しない場合は、検出ルールマッピングに基づいて MITRE-ATT&CK TTP の自動ロールアップを有効にします。セキュリティインシデントをトリガーするアラートまたはイベントルールを [アラートルール] の名前フィールドに入力できます。SIEM 統合、メール解析、手動作成などを使用して、[アラートルール名] フィールドに入力することもできます。詳細については、「検出ルールからの MITRE-ATT&CK 情報をロールアップする」を参照してください。

    注:

    検出ルール機能が更新され、1 つの戦術を複数のテクニックにマッピングできるようになりました。以前は、1 つの戦術を 1 つのテクニックにしかマッピングできませんでした。脅威インテリジェンス プラグインをバージョン 12.0.4 から上位のバージョンにアップグレードする場合は、MITRE-ATT&CK モジュールの検出ルールを使用する前に次の点を確認してください。

    • ルール名、アラートセンサー、ソース、カテゴリ、サブカテゴリ、および MITRE-ATT&CK 戦術のフィールドが共通の場合、複数のレコードが単一のレコードに結合されます。
    • 古いレコードは、[廃止] 列で [true]、[アクティブ] 列で [false] とマークされます。
    • 新しく結合されたレコードは、[廃止] 列で [false]、[アクティブ] 列で [true] とマークされます。
    • アップグレードを確認し、すべての検出ルールが正常に移行されたことを確認したら、[廃止] 列で [true] とマークされた古いレコードを削除できます。

    手順

    1. 次のように移動する。 All (すべて) > 脅威インテリジェンス > MITRE ATT&CK 管理 > 検出ルール - MITRE ATT&CK マッピング.
    2. 検出ルールを作成するには、次のいずれかの方法を使用します。
      方法 1:検出ルールを手動で作成します。
      1. [新規] をクリックし、フォームのフィールドに入力します。
        表 : 1. 検出ルール - MITRE-ATT&CK マッピング
        フィールド 説明
        ルール名 検出ルールの名前。
        MITRE-ATT&CK 戦術 関連する MITRE-ATT&CK 戦術。
        MITRE-ATT&CK テクニック 関連する MITRE-ATT&CK テクニック。1 つの戦術で複数のテクニックを選択できます。
        ソース メール、ファイアウォール、ネットワーク監視などのセキュリティインシデントのソース。
        アラートセンサー CarbonBlack、CrowdStrike、McAfee などのアラートまたはイベントデータを取り込むためのセキュリティ統合
        サブカテゴリ 問題をさらに細かく定義するサブカテゴリ。
        カテゴリ セキュリティ問題のタイプを識別するカテゴリ。
        MITRE-ATT&CK テクニック 関連する MITRE-ATT&CK テクニック。1 つの戦術で複数のテクニックを選択できます。
        セキュリティインシデント数 テクニックが追加されるセキュリティインシデントの数。この数は、アラートルールからセキュリティインシデントへの MITRE-ATT&CK 情報の自動ロールアップを有効にした場合に表示されます。
        不使用 検出ルールのマッピングは廃止されました。
        有効 検出ルールがアクティブで環境に展開されているかどうかを指定するオプション。

        検出ルールの例

      2. [Submit] をクリックします。
      方法 2:検出ルールをインポートして作成します。
      1. [ルール名] 列ヘッダーを右クリックします。
      2. リストから、[インポート] をクリックします。
      3. [Excel テンプレートを作成] をクリックします。
      4. エクスポートが完了したら、[ダウンロード] をクリックします。sn_ti_alert_rules_mitre_attack_technique_mapping というファイル名の Excel テンプレートがコンピューターにダウンロードされます。

        次の図では、Excel テンプレートをエクスポートして、スプレッドシートに詳細を入力し、ファイルをアップロードして、フィールドをプレビューしてから、Now Platform にインポートする方法を示しています。

        MITRE テンプレートのダウンロード/インポート
      5. スプレッドシートを開き、2 番目のシートタブを選択して、入力内容を確認します。フォームでフィールドに入力し、ファイルを保存します。
        表 : 2. テンプレートのインポート
        フィールド 説明
        ルール名 検出ルールの名前。
        有効 検出ルールがアクティブで環境に展開されているかどうかを指定するオプション。
        アラートセンサー CarbonBlack、CrowdStrike、McAfee などのアラートまたはイベントデータを取り込むためのセキュリティ統合
        カテゴリ セキュリティ問題のタイプを識別するカテゴリ。
        コメント 検出ルールに関する説明。
        不使用 検出ルールのマッピングは廃止されました。
        MITRE-ATT&CK テクニック ID アクセシビリティ機能の MITRE-ATT&CK テクニック ID (T1546.008 など)。
        MITRE-ATT&CK 戦術 ID 永続性の MITRE-ATT&CK 戦術 ID (TA0003 など)。
        セキュリティインシデント数 テクニックが追加されるセキュリティインシデントの数。この数は、アラートルールからセキュリティインシデントへの MITRE-ATT&CK 情報の自動ロールアップを有効にし、検出ルールがアクティブの場合に表示されます。
        ソース メール、ファイアウォール、ネットワーク監視などのセキュリティインシデントのソース。
        サブカテゴリ 問題をさらに細かく定義するサブカテゴリ。
        MITRE-ATT&CK 戦術 関連する MITRE-ATT&CK 戦術。
        MITRE-ATT&CK テクニック 関連する MITRE-ATT&CK テクニック。

        次の図は、スプレッドシートテンプレートを示しています。必須フィールド ([ルール名]、[MITRE-ATT&CK 戦術 ID]、および [MITRE-ATT&CK テクニック ID]) は赤でハイライト表示されています。

        スプレッドシートテンプレートのマッピングの詳細を更新する。

      6. [ファイルを選択] をクリックし、コンピューターでスプレッドシートを選択します。
      7. [アップロード] をクリックします。
      8. [インポートされたデータをプレビュー] をクリックします。
      9. マッピングをプレビューし、[インポート完了] をクリックします。

        次の図は、スプレッドシートをアップロードして、データをプレビューし、エラーがないか確認してから、検出ルールマッピングのインポートプロセスを完了する方法を示しています。

        スプレッドシートをアップロードして、検出ルールのマッピングを完了する。