탐지 규칙 생성 및 매핑

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 탐지 규칙을 생성하고 전술 및 기술에 대해 매핑합니다. 이 매핑을 사용하면 조직의 탐지 규칙에 대한 범위를 볼 수 있습니다.

    시작하기 전에

    필요한 역할:
    • sn_ti.admin, sn_si.admin: 생성, 쓰기, 삭제 권한
    • sn_ti.read: 읽기 액세스

    이 태스크 정보

    탐지 규칙 매핑을 사용하면 조직에서 특정 기술을 식별하는 데 사용할 수 있는 탐지 규칙을 확인할 수 있습니다.

    매핑의 주요 목적은 조직에 특정 기술을 사용하는 악의적 사용자의 공격으로 인해 경보 또는 이벤트가 트리거되는 시기를 식별하는 데 필요한 탐지 규칙이 있는지 가시성을 제공하는 것입니다.

    예를 들어 다양한 기술에 매핑된 검색 규칙 목록을 보여 주는 다음 그림을 볼 수 있습니다. 다음에서 이 정보를 볼 수도 있습니다. the MITRE-ATT&CK 탐색기.

    MITRE ATT&CK 탐지 규칙입니다.

    기본 시스템 SIEM 자동 추출 규칙을 사용하지 않으려면 탐지 규칙 매핑을 기반으로 TTP의 MITRE-ATT&CK 자동 롤업을 활성화합니다. 경보 규칙 이름 필드에 보안 인시던트를 트리거하는 경보 또는 이벤트 규칙을 채울 수 있습니다. SIEM 통합, 이메일 구문 분석, 수동 생성 등을 사용하여 경보 규칙 이름 필드를 채울 수도 있습니다. 자세한 내용은 탐지 규칙의 롤업 MITRE-ATT&CK 정보 문서를 참조하십시오.

    주:

    탐지 규칙 기능이 업데이트되어 단일 전술을 여러 기술에 매핑하는 것을 포함합니다. 이전에는 단일 전술을 단일 기술로 매핑할 수 있었습니다. 플러그인을 버전 12.0.4에서 상위 버전으로 업그레이드하는 위협 인텔리전스 경우 모듈의 탐지 규칙을 MITRE-ATT&CK 사용하기 전에 다음 사항을 검토하십시오.

    • 규칙 이름, 경보 센서, 소스, 범주, 하위 범주 및 MITRE-ATT&CK 방법 필드가 공통적인 경우 여러 기록이 단일 기록으로 병합됩니다.
    • 이전 기록은 사용되지 않는 열에서 true로 표시되고 활성 열에서 false로 표시됩니다.
    • 새로 병합된 기록을 사용할 수 있으며 사용되지 않음 열에서 false로, 활성 열에서 true로 표시됩니다.
    • 업그레이드를 확인하고 모든 탐지 규칙이 성공적으로 마이그레이션되었는지 확인한 후에는 사용되지 않음 열에서 true로 표시된 이전 기록을 삭제할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 관리 > 탐지 규칙 - MITRE ATT&CK 매핑.
    2. 다음 방법 중 하나를 사용하여 탐지 규칙을 생성합니다.
      방법 1: 검색 규칙을 수동으로 만듭니다.
      1. 새로 만들기를 클릭하고 양식의 필드에 내용을 입력합니다.
        표 1. 탐지 규칙 - MITRE-ATT&CK 매핑
        필드 설명
        규칙 이름 탐지 규칙의 이름입니다.
        MITRE-ATT&CK 전술 관련 MITRE-ATT&CK 전술.
        MITRE-ATT&CK 기술을 관련 MITRE-ATT&CK 기술. 단일 전술에 대해 여러 기술을 선택할 수 있습니다.
        소스 이메일, 방화벽, 네트워크 모니터링 등과 같은 보안 인시던트의 소스입니다.
        경보 센서 경보 또는 이벤트 데이터(예: CarbonBlack, CrowdStrike, McAfee)를 수집하는 보안 통합입니다.
        하위 범주 문제를 추가로 정의하는 하위 범주입니다.
        범주 보안 문제의 유형을 식별하는 범주입니다.
        MITRE-ATT&CK 기술 관련 MITRE-ATT&CK 기술. 단일 전술에 대해 여러 기술을 선택할 수 있습니다.
        보안 인시던트 수 기술이 추가된 보안 인시던트 수입니다. 경보 규칙에서 보안 인시던트까지 자동으로 정보를 롤업 MITRE-ATT&CK 하도록 설정한 경우 이 수가 나타납니다.
        사용하지 않음 탐지 규칙 매핑은 더 이상 사용되지 않습니다.
        활성 탐지 규칙이 활성 상태이고 사용자 환경에 배포되어 있는지 여부를 지정하는 옵션입니다.

        탐지 규칙 예시.

      2. 제출을 클릭합니다.
      방법 2: 검색 규칙을 가져오고 만듭니다.
      1. 규칙 이름 열 헤더를 마우스 오른쪽 버튼으로 클릭합니다.
      2. 목록에서 임포트를 클릭합니다.
      3. Excel 템플릿 만들기를 클릭합니다.
      4. 익스포트가 완료된 후 다운로드를 클릭합니다. 파일 이름이 sn_ti_alert_rules_mitre_attack_technique_mapping Excel 템플릿이 컴퓨터에 다운로드됩니다.

        다음 그림에서는 Excel 템플릿을 익스포트하고, 스프레드시트에 세부 정보를 입력하고, 파일을 업로드하고, 필드를 미리 보고, 다시 ServiceNow AI Platform.

        MITRE 다운로드 임포트 템플릿.
      5. 스프레드시트를 열고 두 번째 시트 탭을 선택한 다음 입력한 내용을 검토합니다. 양식의 필드에 내용을 입력한 다음 파일을 저장합니다.
        표 2. 템플릿 임포트
        필드 설명
        규칙 이름 탐지 규칙 이름입니다.
        활성 탐지 규칙이 활성 상태이고 사용자 환경에 배포되어 있는지 여부를 지정하는 옵션입니다.
        경보 센서 경보 또는 이벤트 데이터(예: CarbonBlack, CrowdStrike, McAfee)를 수집하는 보안 통합입니다.
        범주 보안 문제의 유형을 식별하는 범주입니다.
        설명 탐지 규칙에 대한 설명입니다.
        사용하지 않음 탐지 규칙 매핑은 더 이상 사용되지 않습니다.
        MITRE-ATT&CK 기술 ID MITRE-ATT&CK 접근성 기능에 대한 기술 ID입니다(예: T1546.008).
        MITRE-ATT&CK 방법 ID MITRE-ATT&CK 지속성을 위한 TA0003과 같은 방법 ID입니다.
        보안 인시던트 수 기술이 추가된 보안 인시던트 수입니다. 경보 규칙에서 보안 인시던트까지 자동으로 정보가 롤업 MITRE-ATT&CK 되도록 설정하고 탐지 규칙이 활성 상태인 경우 이 개수가 나타납니다.
        소스 이메일, 방화벽, 네트워크 모니터링 등과 같은 보안 인시던트의 소스입니다.
        하위 범주 문제를 추가로 정의하는 하위 범주입니다.
        MITRE-ATT&CK 전술 관련 MITRE-ATT&CK 전술.
        MITRE-ATT&CK 기술 관련 MITRE-ATT&CK 기술.

        다음 그림에서는 스프레드시트 템플릿을 보여 줍니다. 필수 필드(규칙 이름, MITRE-ATT&CK 방법 ID 및 MITRE-ATT&CK 기술 ID)가 빨간색으로 강조 표시됩니다.

        스프레드시트 템플릿에서 매핑 상세 정보를 업데이트합니다.

      6. 파일 선택을 클릭하고 컴퓨터에서 스프레드시트를 선택합니다.
      7. 업로드를 클릭합니다.
      8. 임포트한 데이터 미리 보기를 클릭합니다.
      9. 매핑을 미리 보고 임포트 완료를 클릭합니다.

        다음 그림에서는 스프레드시트를 업로드하고, 데이터를 미리 보고, 오류를 검토하고, 탐지 규칙 매핑 임포트 프로세스를 완료하는 방법을 보여줍니다.

        스프레드시트를 업로드하여 탐지 규칙 매핑을 완료합니다.