MITRE ATT&CK 기술 추출 규칙

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 6분

    • 다양한 데이터 소스에서 수집된 옵저버블 또는 객체에서 MITRE 기술을 자동으로 추출하고 옵저버블 기록의 위협 조회 결과에서 MITRE 기술도 추출합니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.admin

    주:
    사용 중인 인스턴스에서 MITRE ATT&CK 리포지토리 데이터를 사용할 수 있는지 확인하십시오. 데이터를 사용할 수 없는 경우 애플리케이션은 추출을 수행하지 않습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 보안 센터 > 관리.
    2. 이동 규칙 엔진 > MITRE ATT&CK 기술 추출 규칙.
      MITRE ATT&CK 기술 추출 규칙 페이지가 표시됩니다.
    3. 새로 만들기를 클릭합니다.
      필드설명
      이름 MITRE ATT&CK 기술 추출 규칙의 이름을 입력합니다.
      설명 MITRE ATT&CK 기술 추출 규칙에 대한 설명을 입력합니다.
      통합 유형 데이터 소스 또는 위협 조회 결과에 대한 MITRE ATT&CK 기술 추출 규칙을 나타냅니다. 조회에서 데이터 소스 목록을 선택합니다.

      다음은 데이터 소스에 사용할 수 있는 옵션입니다.

      • 데이터 소스 - 모두: 즉, 위협 인텔리전스 피드, 인텔리전스 기록 임포트, API 소스(예: API에서 생성된 옵저버블), SIR에서 전송(SIR에서 보낸 옵저버블) 및 위협 인텔리전스 라이브러리에서 사용자가 수동으로 생성한 다양한 엔터티와 같은 모든 유형의 데이터 소스에 규칙을 적용할 수 있습니다.
      • 데이터 소스 - 위협 인텔리전스 피드: 위협 인텔리전스 피드에만 적용되는 추출 규칙에 해당합니다.
      • 데이터 소스 - API 소스: API 소스에만 적용되는 추출 규칙에 해당합니다.
      • 위협 조회 통합: 이 유형의 옵션의 경우 추출 규칙은 Virustotal과 같은 모든 위협 조회 통합에 적용할 수 있습니다.
        주:
        • 이 옵션을 선택하는 경우 위협 조회를 위한 벤더 이름을 입력해야 합니다. 벤더 이름은 위협 조회 통합이 스토어에서 설치 ServiceNow 되는 경우에만 자동으로 채워집니다.
        • 위협 인텔리전스 데이터 소스의 경우 추출 규칙은 STIX, MISP 및 사용자 지정 피드 유형에 대해서만 지원됩니다.
      • 옵저버블 보강 통합: 이 유형의 옵션의 경우 추출 규칙은 모든 옵저버블 보강 통합에 적용할 수 있습니다.
      위협 피드 유형 위협 피드 유형에 사용할 수 있는 옵션은 다음과 같습니다.
      • STIX(TAXII/HTTPS):STIX TAXII 또는 HTTPS 피드 유형의 위협 피드를 필터링하고 조회에서 연결된 피드를 선택하는 옵션입니다.
      • MISP: MISP 피드 유형의 위협 피드를 필터링하고 조회 아이콘을 사용해 검색하여 연결된 피드를 선택하는 옵션입니다.
      • 사용자 지정 피드: 사용자 지정 피드 유형의 위협 피드를 필터링하고 조회 아이콘을 사용하여 검색하여 연결된 피드를 선택하는 옵션입니다.
      피드 선택한 피드 유형에 대해 위협 피드 통합을 하나 이상 선택합니다.
      주:
      이 필드를 비워 두면 선택한 피드 유형에 대한 모든 위협 피드 통합이 자동으로 추출에 고려됩니다.
      MITRE ATT&CK 전술 및 기술 추출 방법 MITRE ATT&CK 전술 및 기술 추출 방법을 선택하는 옵션입니다. 사용 가능한 두 가지 방법은 다음과 같습니다.
      1. 정규 표현식 사용
      2. 스크립트 사용
      추출 방법 - 정규 표현식 사용 이 방법은 위협 분석가가 추출 방법을 수행하기 위해 일련의 문자로 패턴을 정의할 수 있는 정규식을 사용합니다.
      방법 정규 표현식 MITRE ATT&CK 전술 ID 추출을 위한 정규 표현식을 제공하는 옵션입니다.
      기술 정규 표현식 MITRE ATT&CK 기술 ID 추출을 위한 정규 표현식을 제공하는 옵션입니다.
      추출 방법 - 스크립트 사용 이 방법은 스크립트 형식을 사용하여 옵저버블 소스 또는 객체 소스 또는 표시기 소스 또는 위협 조회 결과에 대한 추출을 수행합니다.
      주:
      • 이 스크립트 방법은 엔터티 소스 기록에서 MITRE 전술 및 기술을 추출하고 전술 및 기술을 엔터티 소스 기록 자체에 연결하는 데 사용할 수 있습니다.
      • 이 스크립트 방법은 위협 조회 결과에서 MITRE 전술 및 기술을 추출하고 전술 및 기술을 엔터티 기록에 연결하는 데 사용할 수 있습니다.
      다음은 참조할 수 있도록 샘플 스크립트를 보여줍니다.
      (function process(lookupResultRawData, recordGr, ruleGr, lookupResultGr) {
/*********************************
 
* - threatLookupResult: The raw data of the threat lookup result  in stringified JSON format.
* - recordGr: The GlideRecord of the observable record.
* - ruleGr: GlideRecord of matched MITRE extraction rule
*
* Once you extracted MITRE tactic IDs and technique IDs,
* then you can use this method to link the tactics and techniques to the observable record.
  **********************************/  
var utils = new MITREExtractionUtils();
var parsedRawData =JSON.parse(lookupResultRawData);
var mitreDataField = parsedRawData.mitre_data; 
var response = utils.extractMITREDataUsingRegex(mitreDataField,'TA[0-9][0-9][0-9][0-9]','T[0-9][0-9][0-9][0-9].[0-9][0-9][0-9]|T[0-9][0-9][0-9][0-9]');
utils.addTacticTechniquesForLookup(response.tacticIds, response.techniqueIds, recordGr, ruleGr.getUniqueValue(), lookupResultGr);
 
})(lookupResultRawData, recordGr, ruleGr, lookupResultGr);
 
Here is a sample script example for the extraction rule for threat lookup integrations where the script logic is parsing the threat lookup raw payload and performing the extraction only on a specific field inside the raw payload and associates the extracted tactics/techniques to the observable record.
    4. 새 규칙을 생성한 후 활성화 를 클릭하여 MITRE ATT&CK 기술 추출 규칙을 활성화합니다.
      MITRE ATT&CK 기술 추출 규칙을 사용하도록 설정하지 않으면 규칙이 기록에 적용되지 않습니다.
      주:
      1. 데이터 소스: 추출 규칙을 활성화할 때마다 데이터 소스와 통합 유형의 조합은 기존에 활성화된 추출 규칙과 일치하지 않아야 하며, 일치하지 않을 경우 애플리케이션에 기존 조합을 수정하고 규칙을 다시 활성화하라는 오류 메시지가 표시됩니다.
      2. 위협 조회: 추출 규칙을 활성화할 때마다 벤더 이름은 기존에 활성화된 추출 규칙과 일치하지 않아야 하며, 일치하지 않는 경우 애플리케이션은 벤더 이름을 수정하고 규칙을 다시 활성화하라는 오류 메시지를 표시합니다.
      3. 샘플 MITRE ATT&CK 기술 추출 규칙은 기본 시스템의 사용자에 대해 프로비저닝되며, 이러한 규칙은 기본적으로 비활성화된 상태이므로 규칙을 활성화하고 활성화해야 합니다.
        필드 설명
        데이터 소스 수집에 대한 일반 규칙 인텔리전스 임포트 및 수동 생성을 포함한 모든 유형의 데이터 소스에서 수집하기 위한 일반 규칙입니다.
        위협 조회를 위한 일반 규칙 이는 모든 위협 조회 통합에 대한 일반 규칙입니다.
        옵저버블 보강 통합에 대한 일반 규칙 이는 모든 옵저버블 보강 통합에 대한 일반 규칙입니다.
    5. 복제를 클릭하여 추출 규칙의 복사본을 만듭니다.
    6. 추출 규칙을 사용하지 않으려면 사용 안 함을 클릭하십시오.
      주:
      비활성화되면 MITRE 데이터 추출에 더 이상 규칙이 고려되지 않습니다.
    7. 저장을 클릭합니다.
    8. MITRE ATT&CK 기술 추출 규칙을 삭제하려면 삭제를 클릭합니다.