MITRE-ATT&CK 情報をインポートするための自動抽出テクニックルール

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:5分

    • ベースシステムの自動抽出ルールを使用して、既存のサードパーティ統合から MITRE-ATT&CK 情報をインポートします。

    脅威のルックアップ自動抽出ルールの使用

    脅威のルックアップ自動抽出ルールを使用して、既存の 脅威インテリジェンス サードパーティ統合から MITRE-ATT&CK 情報をインポートします。

    始める前に

    必要なロール:
    • sn_ti.admin、sn_si.admin:作成、書き込み、削除アクセス
    • sn_ti.read:読み取りアクセス

    このタスクについて

    サンドボックスや TIP などの 脅威インテリジェンス 統合が MITRE-ATT&CK フレームワークをサポートし、各統合レベルで MITRE-ATT&CK 情報が解析されると、その情報が各脅威のルックアップの結果レコードに表示されます。ただし、すべての 脅威インテリジェンス 統合が MITRE-ATT&CK 情報を解析するわけではありません。脅威のルックアップのグローバル自動抽出ルールは、すべての 脅威インテリジェンス 統合から MITRE-ATT&CK 情報を抽出できます。

    脅威のルックアップの結果からセキュリティインシデントに MITRE-ATT&CK 情報を自動的にロールアップするように選択できます。脅威のルックアップ結果をセキュリティインシデントに自動的にロールアップするには、システムのプロパティを有効にします。また、個々の脅威のルックアップに、情報を手動でロールアップすることもできます。

    脅威インテリジェンス 統合によってテクニックや戦術などの MITRE-ATT&CK 情報が提供される場合、ベースシステムの 脅威インテリジェンス は、サードパーティ統合の生のペイロードから脅威のルックアップの結果レコードに自動的に MITRE-ATT&CK 情報を抽出します。

    脅威のルックアップレコードの生のペイロードフィールドで MITRE-ATT&CK 情報が利用できない場合は、サードパーティ統合からの自動抽出に独自のルールを定義する必要があります。

    手順

    1. 移動先 すべて > 脅威インテリジェンス > MITRE ATT&CK 管理 > テクニック抽出ルール.
    2. [New] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 1. [テクニック抽出ルール] フォーム
      フィールド 説明
      名前 自動抽出ルールの名前。
      ルールタイプ 自動抽出ルールのタイプ。[脅威のルックアップ] を選択します。
      自動抽出を無視 デフォルトでクリアされている設定。この設定により、MITRE-ATT&CK テクニックの自動抽出が有効になります。
      ソースエンジン ソースエンジン。
      グローバル ソースエンジンの設定。ソースエンジンを [グローバル] に設定すると、すべての脅威のルックアップの統合結果で抽出が実行されます。
      説明 自動抽出ルールの説明。
      プロセスメソッド 正規表現、または生のペイロードからテクニック情報をリンクするために指定するスクリプトメソッド。
      正規表現抽出 正規表現抽出メソッドを使用するときに、[ターゲットフィールド] に指定するオプション。正規表現がデフォルトです。
      スクリプト抽出 スクリプトの実行時に選択するプロセス。このスクリプトは以下を確認します。
      • ThreatLookupResultSysId:脅威のルックアップ結果レコードの sys_id
      • sourceName:脅威のルックアップソースの名前。
      戦術の抽出 生のペイロードから戦術関連情報を抽出するために指定するオプション。ペイロードに特定の戦術とテクニックに関連する情報が含まれている場合は、その情報を抽出してセキュリティインシデントに追加できます。
    4. [Submit] をクリックします。

    SIEM 自動抽出ルールの使用

    SIEM 自動抽出ルールを使用して、既存の セキュリティオペレーション SIEM サードパーティ統合から MITRE-ATT&CK 情報をインポートします。

    始める前に

    必要なロール:
    • sn_ti.admin、sn_si.admin:作成、書き込み、削除アクセス
    • sn_ti.read:読み取りアクセス

    このタスクについて

    テクニック抽出ルールは、Splunk、IBM QRadar、ArcSight 統合などのすべてのベースシステム セキュリティオペレーション SIEM 統合で使用できます。ServiceNow AI Platform がこれらの SIEM 統合からアラートやイベントデータを取り込み、それらに MITRE-ATT&CK 情報が含まれている場合、ServiceNow AI Platform は生のペイロードを処理し、MITRE-ATT&CK 情報を自動抽出します。

    ServiceNow AI Platform にベースシステム SIEM 統合が含まれている場合は、テクニック抽出ルールは MITRE-ATT&CK モジュールに既に作成されていることを意味します。必要に応じてルールを確認し、変更する必要があります。

    SIEM 自動抽出ルールまたはアラートルールのいずれかを一度に有効にします。

    手順

    1. 移動先 すべて > 脅威インテリジェンス > MITRE ATT&CK 管理 > テクニック抽出ルール.
    2. [New] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 2. [テクニック抽出ルール] フォーム
      フィールド 説明
      名前 自動抽出ルールの名前。
      ルールタイプ 自動抽出ルールのタイプ。[SIEM] を選択します。
      自動抽出を無視 デフォルトでクリアされている設定。この設定により、MITRE-ATT&CK テクニックの自動抽出が有効になります。
      テーブルのインポート ベースシステムの SIEM 統合用に自動的にマッピングされるインポートテーブル。他の SIEM 統合について MITRE-ATT&CK の情報がないかこのフィールドを確認し、それに従ってマッピングします。
      インポートフィールド ベースシステムの SIEM 統合用に自動的にマッピングされるインポートフィールド。他の SIEM 統合について MITRE-ATT&CK の情報がないかこのフィールドを確認し、それに従ってマッピングします。
      説明 自動抽出ルール。
      プロセスメソッド 正規表現、または生のペイロードからテクニック情報をリンクするために指定するスクリプトメソッド。
      正規表現抽出 正規表現メソッドを使用するときに、[ターゲットフィールド] に指定するオプション。正規表現抽出はデフォルトのプロセスメソッドです。
      スクリプト抽出 MITRE-ATT&CK 情報の抽出方法をカスタマイズする場合に使用するスクリプトプロセスメソッド。
      戦術の抽出 生のペイロードから戦術関連情報を抽出するために指定するオプション。ペイロードに特定の戦術とテクニックに関連する情報が含まれている場合は、その情報を抽出してセキュリティインシデントに追加できます。

      次の図では、フォームビューに Splunk Enterprise SIEM テクニック抽出ルールの例が示されています。このルールは、他のすべての SIEM テクニック抽出ルールに似ています。

      Splunk テクニック抽出ルール
    4. [Submit] をクリックします。