Erstellen und ordnen Sie Erkennungsregeln zu

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Erstellen Sie Erkennungsregeln, und ordnen Sie sie den Taktiken und Techniken zu. Mit dieser Zuordnung können Sie die Abdeckung für die Erkennungsregeln in Ihrer Organisation anzeigen.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Zugriff erstellen, schreiben, löschen
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Mit der Erkennungsregelzuordnung kann Ihre Organisation sehen, welche Erkennungsregeln zur Identifizierung bestimmter Techniken verfügbar sind.

    Der Hauptzweck der Zuordnung besteht darin, für Transparenz zu sorgen, ob Ihre Organisation über die erforderlichen Erkennungsregeln verfügt, um zu erkennen, wann eine Warnung oder ein Event als Ergebnis eines Angriffs eines Angreifers mit einer bestimmten Technik ausgelöst wird.

    Sehen Sie sich beispielsweise die folgende Abbildung an, die eine Liste der Erkennungsregeln zeigt, die verschiedenen Techniken zugeordnet sind. Sie können diese Informationen auch in anzeigen der/die/das MITRE-ATT&CK -Navigator.

    MITRE ATT&CK-Erkennungsregeln

    Wenn Sie nicht die Basissystem-SIEM-Regeln für die automatische Extraktion verwenden möchten, aktivieren Sie das automatische Rollup von MITRE-ATT&CK TTPs basierend auf der Erkennungsregelzuordnung. Sie können die Warnungs- oder Event-Regel, die den Security Incident auslöst, im Namensfeld der Warnungsregel ausfüllen. Sie können das Feld „Warnungsregelname“ auch mithilfe der SIEM -Integration, E-Mail-Analyse, manueller Erstellung usw. ausfüllen. Weitere Informationen finden Sie unter Rollup MITRE-ATT&CK Informationen aus Erkennungsregeln.

    Hinweis:

    Die Funktion „Erkennungsregeln“ wurde aktualisiert und umfasst nun die Zuordnung einer einzelnen Taktik zu mehreren Techniken. Zuvor konnten Sie eine einzelne Taktik einer einzelnen Technik zuordnen. Wenn Sie das Plugin Threat Intelligence von Version 12.0.4 auf eine höhere Version aktualisieren, überprüfen Sie die folgenden Punkte, bevor Sie die Erkennungsregeln im Modul MITRE-ATT&CK verwenden.

    • Sie finden mehrere Datensätze in einem einzigen Datensatz zusammengeführt, wenn die Felder „Regelname“, „Warnungssensor“, „Quelle“, „Kategorie“, „Unterkategorie“ und MITRE-ATT&CK „[]“ gleich sind.
    • Die alten Datensätze werden in der veralteten Spalte als „true“ und in der aktiven Spalte als „false“ markiert.
    • Die neuen zusammengeführten Datensätze können verwendet werden und sind in der veralteten Spalte als „false“ und in der aktiven Spalte als „true“ markiert.
    • Nachdem Sie das Upgrade überprüft haben und feststellen, dass alle Ihre Erkennungsregeln erfolgreich migriert wurden, können Sie die alten Datensätze löschen, die in der Spalte „Veraltet“ als „true“ markiert sind.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Erkennungsregeln – MITRE ATT&CK-Zuordnungen.
    2. Verwenden Sie eine der folgenden Methoden, um eine Erkennungsregel zu erstellen:
      Methode 1: Erkennungsregeln manuell erstellen
      1. Klicken Sie auf Neu, und füllen Sie im Formular die Felder aus.
        Tabelle : 1. Erkennungsregeln – MITRE-ATT&CK Zuordnung
        Feld Beschreibung
        Regelname Name der Erkennungsregel
        MITRE-ATT&CK Taktik Relevante MITRE-ATT&CK Taktik.
        MITRE-ATT&CK Techniken Relevante MITRE-ATT&CK Technik. Sie können mehrere Techniken für eine einzelne Taktik auswählen.
        Quelle Quelle des Security Incidents, z. B. E-Mail, Firewall, Netzwerküberwachung usw.
        Warnungssensor Sicherheitsintegration, über die Sie die Warnungs- oder Event-Daten wie CarbonBlack, CrowdStrike, McAfee usw. erfassen.
        Unterkategorie Unterkategorie, die das Problem weiter definiert.
        Kategorie Kategorie, die den Typ des Sicherheitsproblems angibt.
        MITRE-ATT&CK Technik Relevante MITRE-ATT&CK Technik. Sie können mehrere Techniken für eine einzelne Taktik auswählen.
        Anzahl der Security Incidents Die Anzahl der Security Incidents, an die die Techniken angehängt werden. Diese Anzahl wird angezeigt, wenn Sie das automatische Rollup von MITRE-ATT&CK Informationen aus Warnungsregeln zu Security Incidents aktiviert haben.
        Überholt Die Zuordnung der Erkennungsregel ist veraltet.
        Aktiv Option, um anzugeben, ob die Erkennungsregel aktiv ist und in Ihrer Umgebung bereitgestellt wird.

        Beispiel für Erkennungsregeln.

      2. Klicken Sie auf Absenden.
      Methode 2: Erkennungsregeln importieren und erstellen
      1. Klicken Sie mit der rechten Maustaste auf die Spaltenüberschrift Regelname.
      2. Klicken Sie in der Liste auf Importieren.
      3. Klicken Sie auf Excel-Vorlage erstellen.
      4. Klicken Sie nach Abschluss des Exports auf Herunterladen. Eine Excel-Vorlage mit dem Dateinamen sn_ti_alert_rules_mitre_attack_technique_mapping wird auf Ihren Computer heruntergeladen.

        In der folgenden Abbildung sehen Sie, wie Sie die Excel-Vorlage exportieren, die Details in die Tabelle eintragen, die Datei hochladen, eine Vorschau der Felder anzeigen und sie wieder in Now Platformimportieren.

        MITRE-Download-Importvorlage.
      5. Öffnen Sie die Tabelle, wählen Sie die zweite Blattregisterkarte aus, und überprüfen Sie Ihre Eingabe. Füllen Sie die Felder des Formulars aus, und speichern Sie die Datei.
        Tabelle : 2. Importvorlage
        Feld Beschreibung
        Regelname Name der Erkennungsregel
        Aktiv Option, um anzugeben, ob die Erkennungsregel aktiv ist und in Ihrer Umgebung bereitgestellt wird.
        Warnungssensor Sicherheitsintegration, über die Sie die Warnungs- oder Event-Daten wie CarbonBlack, CrowdStrike, McAfee usw. erfassen.
        Kategorie Kategorie, die den Typ des Sicherheitsproblems angibt.
        Kommentare Beschreibung der Erkennungsregel.
        Überholt Die Zuordnung der Erkennungsregel ist veraltet.
        MITRE-ATT&CK Technik-IDs MITRE-ATT&CK Technik-ID, z. B. T1546.008, für Eingabehilfefunktionen.
        MITRE-ATT&CK Taktik-ID MITRE-ATT&CK Taktik-ID, z. B. TA0003, für Persistenz.
        Anzahl der Security Incidents Die Anzahl der Security Incidents, an die die Techniken angehängt werden. Diese Anzahl wird angezeigt, wenn Sie das automatische Rollup von MITRE-ATT&CK Informationen aus Warnungsregeln zu Security Incidents aktiviert haben und die Erkennungsregel aktiv ist.
        Quelle Quelle des Security Incidents, z. B. E-Mail, Firewall, Netzwerküberwachung usw.
        Unterkategorie Unterkategorie, die das Problem weiter definiert.
        MITRE-ATT&CK Taktik Relevante MITRE-ATT&CK Taktik.
        MITRE-ATT&CK Technik Relevante MITRE-ATT&CK Technik.

        Die folgende Abbildung zeigt die Tabellenkalkulationsvorlage. Die erforderlichen Felder sind rot hervorgehoben: Regelname, MITRE-ATT&CK Taktik-ID und MITRE-ATT&CK Technik-ID.

        Aktualisieren Sie die Zuordnungsdetails in der Tabellenvorlage.

      6. Klicken Sie auf Datei auswählen, und wählen Sie die Tabelle auf Ihrem Computer aus.
      7. Klicken Sie auf Hochladen.
      8. Klicken Sie auf Vorschau für importierte Daten.
      9. Zeigen Sie eine Vorschau der Zuordnungen an, und klicken Sie auf Importabschließen.

        Die folgende Abbildung zeigt, wie Sie die Tabelle hochladen, eine Vorschau der Daten anzeigen, Fehler überprüfen und den Importvorgang der Erkennungsregelzuordnung abschließen.

        Laden Sie die Tabelle hoch, um die Zuordnung der Erkennungsregel abzuschließen.