Rollup MITRE-ATT&CK Informationen aus Erkennungsregeln

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Aktivieren Sie das Rollup von MITRE-ATT&CK Informationen aus den Erkennungsregeln zu den Security Incidents, um die Analyse von Security Incidents und Bedrohungen zu verbessern.

    Vorbereitungen

    Erforderliche Rolle: keine

    Vergewissern Sie sich, dass Sie Folgendes durchgeführt haben:
    • Aktivieren Sie im Modul „Eigenschaften“ die EigenschaftMITRE ATT&ACK-Informationen automatisch aus Warnungsregeln für Security Incidents zusammenfassen. Standardmäßig ist diese Option deaktiviert. Weitere Informationen finden Sie unter MITRE-ATT&CK-Systemeigenschaften überprüfen.
    • Führen Sie eine Zuordnung von Erkennungsregeln zu MITRE-ATT&CK TTPs im Modul „ Erkennungsregeln – MITRE ATT&CK TTP -Zuordnung“ durch. Der Name der Erkennungsregel muss mit dem Namen der Warnungsregel übereinstimmen, die den Security Incident auslöst. Weitere Informationen finden Sie unter Erstellen und ordnen Sie Erkennungsregeln zu.

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie nicht die Basissystem-SIEM-Regeln für die automatische Extraktion verwenden möchten, aktivieren Sie das automatische Rollup von MITRE-ATT&CK TTPs basierend auf der Erkennungsregelzuordnung. Sie können die Warnungs- oder Event-Regel, die den Security Incident auslöst, im Namensfeld der Warnungsregel ausfüllen. Sie können das Feld „Name der Warnungsregel“ auch mithilfe von SIEM -Integration, E-Mail-Analyse, manueller Erstellung usw. ausfüllen.

    Prozedur

    1. Navigieren zu MITRE ATT&CK-Administration > Eigenschaften.
    2. Aktivieren Sie die Eigenschaft Rollup MITRE ATT&ACK-Informationen automatisch aus Warnungsregeln zu Security Incidents durchführen, und klicken Sie auf Speichern.
      Standardmäßig ist diese Option deaktiviert.
    3. Sie müssen das Feld Name der Warnungsregel des Security Incident mit den erforderlichen Warnungsregeln ausfüllen.
      Hinweis:
      Stellen Sie sicher, dass Sie den genauen Namen der Warnungsregel hinzufügen. Um mehrere Regeln hinzuzufügen, müssen Sie die Regeln mit einem Komma-Trennzeichen hinzufügen.
    4. Klicken Sie mit der rechten Maustaste auf das Formular, und klicken Sie auf Speichern.
      Wenn der Wert des Warnungsregelnamens im Security Incident mit einem Datensatz im Modul „Erkennungsregel – MITRE ATT&CK TTP Mapping“ übereinstimmt, werden die entsprechenden Techniken und Taktiken, die der Warnungsregel zugeordnet sind, automatisch mit dem Security Incident verknüpft.

      Diese Abbildung zeigt, wie ein Rollup für MITRE-Informationen aus den Erkennungsregeln zu einem Security Incident durchgeführt wird.

    5. Öffnen Sie den Security Incident, wählen Sie die MITRE ATT&CK-Karte aus, und überprüfen Sie, ob für die Techniken ein Rollup durchgeführt wird.
    6. Aktivieren Sie die Option Ursprung der Techniken anzeigen, um den Ursprung der Techniken anzuzeigen.
      Der Ursprung der Techniken muss Erkennungsregelsein.