Rollup MITRE-ATT&CK Informationen aus Erkennungsregeln

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Rollup von aktivieren MITRE-ATT&CK Informationen von den Erkennungsregeln bis zu den Security Incidents für eine bessere Analyse von Security Incidents und Bedrohungen.

    Vorbereitungen

    Erforderliche Rolle: keine

    Stellen Sie sicher, dass Sie Folgendes ausgeführt haben:
    • Aktivieren Sie Rollup von MITRE ATT&ACK-Informationen automatisch von Warnungsregeln zu Security Incidents Eigenschaft in Eigenschaften Modul. Standardmäßig ist diese Option deaktiviert. Weitere Informationen finden Sie unter Überprüfen Sie die MITRE-ATT&CK-Systemeigenschaften .
    • Führen Sie die Zuordnung von Erkennungsregeln zu durch MITRE-ATT&CK TTPs in Erkennungsregeln – MITRE ATT&CK TTP-Zuordnung Modul. Der Name der Erkennungsregel muss mit dem Namen der Warnungsregel übereinstimmen, die den Security Incident auslöst. Weitere Informationen finden Sie unter Erstellen und ordnen Sie Erkennungsregeln zu.

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie die automatischen SIEM-Extraktionsregeln des Basissystems nicht verwenden möchten, aktivieren Sie das automatische Rollup von MITRE-ATT&CK TTPs basierend auf der Erkennungsregelzuordnung. Sie können die Warnungs- oder Ereignisregel ausfüllen, die den Security Incident in auslöst Warnungsregel Namensfeld. Sie können auch ausfüllen Warnungsregel Namensfeld mithilfe von SIEM-Integration, E-Mail-Analyse, manueller Erstellung usw.

    Prozedur

    1. Navigieren zu MITRE ATT&CK-Administration > Eigenschaftenan.
    2. Aktivieren Sie die Eigenschaft „MITRE ATT&ACK-Informationen automatisch aus Warnungsregeln zur Eigenschaft „Security Incidents“ Rollup, und klicken Sie auf Speichern .
      Standardmäßig ist diese Option deaktiviert.
    3. Sie müssen ausfüllen Warnungsregel Namensfeld des Security Incidents mit den erforderlichen Warnungsregeln.
      Hinweis:
      Stellen Sie sicher, dass Sie genau hinzufügen Warnungsregel Name. Um mehrere Regeln hinzuzufügen, müssen Sie die Regeln mit einem Kommatrennzeichen hinzufügen.
    4. Klicken Sie mit der rechten Maustaste auf das Formular, und klicken Sie auf Speichern .
      Wenn der Wert des Warnungsregelnamens im Security Incident mit einem Datensatz im Modul „Erkennungsregel – MITRE ATT&CK TTP MAPPING“ übereinstimmt, werden die entsprechenden Techniken und Taktiken, die der Warnungsregel zugeordnet sind, automatisch mit dem Security Incident verknüpft.

      Diese Abbildung zeigt, wie MITRE-Informationen aus den Erkennungsregeln zu einem Security Incident zusammengefasst werden.

    5. Öffnen Sie den Security Incident, und wählen Sie aus MITRE ATT&CK-KARTE Und validiert, ob für die Techniken ein Rollup durchgeführt wird.
    6. Aktivieren Ursprung der Techniken anzeigen Option zum Anzeigen des Ursprungs der Techniken.
      Der Ursprung der Techniken muss sein Erkennungsregel .