정보 임포트를 MITRE-ATT&CK 위한 자동 추출 기술 규칙

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 기본 시스템 자동 추출 규칙을 사용하여 기존 외부 공급업체 통합에서 정보를 임포트 MITRE-ATT&CK 합니다.

    위협 조회 자동 추출 규칙 사용

    위협 조회 자동 추출 규칙을 사용하여 기존 위협 인텔리전스 외부 공급업체 통합에서 정보를 임포트 MITRE-ATT&CK 합니다.

    시작하기 전에

    필요한 역할:
    • sn_ti.admin, sn_si.admin: 생성, 쓰기, 삭제 권한
    • sn_ti.read: 읽기 권한

    이 태스크 정보

    샌드박스 또는 TIP와 같은 통합 위협 인텔리전스 이 프레임워크 MITRE-ATT&CKMITRE-ATT&CK 지원하고 각 통합 수준에서 정보가 구문 분석되면 각 위협 조회 결과 기록에 정보가 표시됩니다. 그러나 모든 위협 인텔리전스 통합이 정보를 구문 분석하는 MITRE-ATT&CK 것은 아닙니다. 위협 조회 전역 자동 추출 규칙은 모든 위협 인텔리전스 통합에서 정보를 추출 MITRE-ATT&CK 할 수 있습니다.

    위협 조회 결과에서 보안 인시던트까지 정보를 자동으로 롤업 MITRE-ATT&CK 하도록 선택할 수 있습니다. 위협 조회 결과를 보안 인시던트로 자동 롤업하려면 시스템 속성을 활성화합니다. 또는 각 개별 위협 조회 에 대한 정보를 수동으로 롤업 할 수 있습니다.

    통합이 위협 인텔리전스 기술 또는 전술과 같은 정보를 제공하는 MITRE-ATT&CK 경우 기본 시스템은 위협 인텔리전스 외부 공급업체 통합 원시 페이로드에서 위협 조회 결과 기록으로 정보를 자동으로 추출 MITRE-ATT&CK 합니다.

    MITRE-ATT&CK 위협 조회 기록의 원시 페이로드 필드에서 정보를 사용할 수 없는 경우 외부 공급업체 통합에서 자동 추출하기 위한 자체 규칙을 정의해야 합니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 관리 > 기술 추출 규칙레이블이 표시됩니다.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 1. 기술 추출 규칙 양식
      필드 설명
      이름 자동 추출 규칙 이름입니다.
      규칙 유형 자동 추출 규칙 유형입니다. 위협 조회를 선택합니다.
      자동 추출 무시 기본적으로 이 설정은 지워집니다. 이 설정을 사용하면 기술을 자동으로 추출할 MITRE-ATT&CK 수 있습니다.
      소스 엔진 소스 엔진입니다.
      전역 소스 엔진 설정입니다. 소스 엔진을 글로벌로 설정하면 모든 위협 조회 통합 결과에서 추출이 실행됩니다.
      설명 자동 추출 규칙에 대한 설명입니다.
      공정 방법 원시 페이로드에서 기술 정보를 연결하기 위해 지정하는 Regex 또는 스크립트 방법입니다.
      정규 표현식 추출 정규 표현식 추출 방법을 사용할 때 대상 필드에 지정하는 옵션입니다. Regex가 기본값입니다.
      스크립트 추출 스크립트를 실행할 때 선택하는 프로세스입니다. 스크립트는 다음을 검토합니다.
      • threatLookupResultSysId: 위협 조회 결과 기록의 sys_id
      • sourceName: 위협 조회 소스의 이름입니다.
      전술 추출 원시 페이로드에서 방법 관련 정보를 추출하기 위해 지정하는 옵션입니다. 페이로드에 특정 전술 및 기술 관련 정보가 포함되어 있는 경우 정보를 추출하여 보안 인시던트에 추가할 수 있습니다.
    4. 제출을 클릭합니다.

    SIEM 자동 추출 규칙 사용

    SIEM 자동 추출 규칙을 사용하여 기존 Security Operations SIEM 타사 통합에서 정보를 임포트 MITRE-ATT&CK 합니다.

    시작하기 전에

    필요한 역할:
    • sn_ti.admin, sn_si.admin: 생성, 쓰기, 삭제 권한
    • sn_ti.read: 읽기 권한

    이 태스크 정보

    기술 추출 규칙은 Splunk, IBM QRadar 및 ArcSight 통합과 같은 모든 기본 시스템 Security Operations SIEM 통합에 사용할 수 있습니다. Now Platform 이러한 SIEM 통합에서 경보 또는 이벤트 데이터를 수집하고 여기에 정보가 Now Platform 포함되어 MITRE-ATT&CK 있으면 원시 페이로드를 처리하고 정보를 자동으로 추출합니다MITRE-ATT&CK.

    기본 Now Platform 시스템 SIEM 통합이 포함되어 있다면 기술 추출 규칙이 모듈에 MITRE-ATT&CK 이미 생성되어 있음을 의미합니다. 필요에 따라 규칙을 검토하고 수정해야 합니다.

    한 번에 SIEM 자동 추출 규칙 또는 경보 규칙을 사용하도록 설정합니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 관리 > 기술 추출 규칙레이블이 표시됩니다.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 2. 기술 추출 규칙 양식
      필드 설명
      이름 자동 추출 규칙 이름입니다.
      규칙 유형 자동 추출 규칙 유형입니다. SIEM을 선택합니다.
      자동 추출 무시 이 설정은 기본적으로 지워져 있습니다. 이 설정을 사용하면 기술을 자동으로 추출할 MITRE-ATT&CK 수 있습니다.
      임포트 테이블 기본 시스템 SIEM 통합을 위해 자동으로 매핑되는 임포트 테이블입니다. 다른 SIEM 통합에 대한 이 필드를 검토하고 정보를 확인하고 그에 따라 매핑합니다 MITRE-ATT&CK .
      임포트 필드 기본 시스템 SIEM 통합을 위해 자동으로 매핑되는 임포트 필드입니다. 다른 SIEM 통합에 대한 이 필드를 검토하고 정보를 확인하고 그에 따라 매핑합니다 MITRE-ATT&CK .
      설명 자동 추출 규칙.
      공정 방법 원시 페이로드에서 기술 정보를 연결하기 위해 지정하는 Regex 또는 스크립트 방법입니다.
      정규 표현식 추출 정규 표현식 방법을 사용할 때 대상 필드에 지정하는 옵션입니다. 정규 표현식 추출은 기본 프로세스 방법입니다.
      스크립트 추출 정보를 추출하는 방법을 MITRE-ATT&CK 사용자 지정하려는 경우 사용하는 스크립트 프로세스 방법입니다.
      전술 추출 원시 페이로드에서 방법 관련 정보를 추출하기 위해 지정하는 옵션입니다. 페이로드에 특정 전술 및 기술 관련 정보가 포함되어 있는 경우 정보를 추출하여 보안 인시던트에 추가할 수 있습니다.

      다음 그림에서는 양식 뷰에서 SIEM 기술 추출 규칙의 Splunk Enterprise 예를 볼 수 있습니다. 이 규칙은 다른 모든 SIEM 기술 추출 규칙과 유사합니다.

      Splunk 기술 추출 규칙입니다.
    4. 제출을 클릭합니다.