정보 임포트를 MITRE-ATT&CK 위한 자동 추출 기술 규칙
기본 시스템 자동 추출 규칙을 사용하여 기존 외부 공급업체 통합에서 정보를 임포트 MITRE-ATT&CK 합니다.
위협 조회 자동 추출 규칙 사용
위협 조회 자동 추출 규칙을 사용하여 기존 위협 인텔리전스 외부 공급업체 통합에서 정보를 임포트 MITRE-ATT&CK 합니다.
시작하기 전에
- sn_ti.admin, sn_si.admin: 생성, 쓰기, 삭제 권한
- sn_ti.read: 읽기 권한
이 태스크 정보
샌드박스 또는 TIP와 같은 통합 위협 인텔리전스 이 프레임워크 MITRE-ATT&CK 를 MITRE-ATT&CK 지원하고 각 통합 수준에서 정보가 구문 분석되면 각 위협 조회 결과 기록에 정보가 표시됩니다. 그러나 모든 위협 인텔리전스 통합이 정보를 구문 분석하는 MITRE-ATT&CK 것은 아닙니다. 위협 조회 전역 자동 추출 규칙은 모든 위협 인텔리전스 통합에서 정보를 추출 MITRE-ATT&CK 할 수 있습니다.
위협 조회 결과에서 보안 인시던트까지 정보를 자동으로 롤업 MITRE-ATT&CK 하도록 선택할 수 있습니다. 위협 조회 결과를 보안 인시던트로 자동 롤업하려면 시스템 속성을 활성화합니다. 또는 각 개별 위협 조회 에 대한 정보를 수동으로 롤업 할 수 있습니다.
통합이 위협 인텔리전스 기술 또는 전술과 같은 정보를 제공하는 MITRE-ATT&CK 경우 기본 시스템은 위협 인텔리전스 외부 공급업체 통합 원시 페이로드에서 위협 조회 결과 기록으로 정보를 자동으로 추출 MITRE-ATT&CK 합니다.
MITRE-ATT&CK 위협 조회 기록의 원시 페이로드 필드에서 정보를 사용할 수 없는 경우 외부 공급업체 통합에서 자동 추출하기 위한 자체 규칙을 정의해야 합니다.
프로시저
SIEM 자동 추출 규칙 사용
SIEM 자동 추출 규칙을 사용하여 기존 Security Operations SIEM 타사 통합에서 정보를 임포트 MITRE-ATT&CK 합니다.
시작하기 전에
- sn_ti.admin, sn_si.admin: 생성, 쓰기, 삭제 권한
- sn_ti.read: 읽기 권한
이 태스크 정보
기본 Now Platform 시스템 SIEM 통합이 포함되어 있다면 기술 추출 규칙이 모듈에 MITRE-ATT&CK 이미 생성되어 있음을 의미합니다. 필요에 따라 규칙을 검토하고 수정해야 합니다.
한 번에 SIEM 자동 추출 규칙 또는 경보 규칙을 사용하도록 설정합니다.
프로시저
-
양식의 필드에 내용을 입력합니다.
표 2. 기술 추출 규칙 양식 필드 설명 이름 자동 추출 규칙 이름입니다. 규칙 유형 자동 추출 규칙 유형입니다. SIEM을 선택합니다. 자동 추출 무시 이 설정은 기본적으로 지워져 있습니다. 이 설정을 사용하면 기술을 자동으로 추출할 MITRE-ATT&CK 수 있습니다. 임포트 테이블 기본 시스템 SIEM 통합을 위해 자동으로 매핑되는 임포트 테이블입니다. 다른 SIEM 통합에 대한 이 필드를 검토하고 정보를 확인하고 그에 따라 매핑합니다 MITRE-ATT&CK . 임포트 필드 기본 시스템 SIEM 통합을 위해 자동으로 매핑되는 임포트 필드입니다. 다른 SIEM 통합에 대한 이 필드를 검토하고 정보를 확인하고 그에 따라 매핑합니다 MITRE-ATT&CK . 설명 자동 추출 규칙. 공정 방법 원시 페이로드에서 기술 정보를 연결하기 위해 지정하는 Regex 또는 스크립트 방법입니다. 정규 표현식 추출 정규 표현식 방법을 사용할 때 대상 필드에 지정하는 옵션입니다. 정규 표현식 추출은 기본 프로세스 방법입니다. 스크립트 추출 정보를 추출하는 방법을 MITRE-ATT&CK 사용자 지정하려는 경우 사용하는 스크립트 프로세스 방법입니다. 전술 추출 원시 페이로드에서 방법 관련 정보를 추출하기 위해 지정하는 옵션입니다. 페이로드에 특정 전술 및 기술 관련 정보가 포함되어 있는 경우 정보를 추출하여 보안 인시던트에 추가할 수 있습니다. 다음 그림에서는 양식 뷰에서 SIEM 기술 추출 규칙의 Splunk Enterprise 예를 볼 수 있습니다. 이 규칙은 다른 모든 SIEM 기술 추출 규칙과 유사합니다.