Regras de técnica de extração automática para importar informações de MITRE-ATT&CK

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Use as regras de extração automática do sistema de base para importar as informações MITRE-ATT&CK de quaisquer integrações de terceiros existentes.

    Usar regras de extração automática de pesquisa de ameaças

    Use as regras de extração automática de pesquisa de ameaças para importar as informações MITRE-ATT&CK de quaisquer integrações de terceiros Inteligência contra ameaças existentes.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: criar, gravar, excluir acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    Quando qualquer integração Inteligência contra ameaças, como Sandbox ou um TIP, oferece suporte à estrutura MITRE-ATT&CK e se as informações MITRE-ATT&CK forem analisadas em cada nível de integração, as informações serão exibidas em cada registro de resultado de pesquisa de ameaça. No entanto, nem todas as integrações Inteligência contra ameaças analisam as informações MITRE-ATT&CK. A regra de extração automática global de pesquisa de ameaças pode extrair MITRE-ATT&CK informações de todas as Inteligência contra ameaças integrações.

    Você pode optar por acumular as informações MITRE-ATT&CK automaticamente dos resultados da pesquisa de ameaças para um incidente de segurança. Para acúmulo automático de resultados de pesquisa de ameaças para incidentes de segurança, habilite a propriedade do sistema. Como alternativa, você pode acumular as informações manualmente para cada pesquisa de ameaça individual.

    O sistema de base Inteligência contra ameaças extrai automaticamente as MITRE-ATT&CK informações da carga bruta de integrações de terceiros para o registro de resultado de pesquisa de ameaças, se a integração Inteligência contra ameaças fornecer MITRE-ATT&CK informações como a técnica ou tática.

    Se as informações de MITRE-ATT&CK não estiverem disponíveis no campo de carga bruta do registro de pesquisa de ameaças, você deverá definir sua própria regra para extração automática da integração de terceiros.

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Administração do MITRE ATT&CK > Regra de extração da técnica.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regra de extração de técnica
      Campo Descrição
      Nome Nome da regra de extração automática.
      Tipo de Regra Tipo de regra de extração automática. Selecione Pesquisa de ameaças.
      Ignorar extração automática Configuração que, por padrão, está desmarcada. Esta configuração permite a extração automática de MITRE-ATT&CK técnicas.
      Mecanismo de Origem Mecanismo de origem.
      Global Configuração do mecanismo de origem. Quando você define o mecanismo de origem como Global, a extração é executada em todos os resultados de integração de pesquisa de ameaças.
      Descrição Descrição da regra de extração automática.
      Método de processo Regex ou um método de script que você especifica para vincular as informações da técnica da carga bruta.
      Extração de Regex Opção que você especifica para o Campo de destino ao usar o método de extração regex. Regex é o padrão.
      Extração de script Processo que você seleciona ao executar um script. O script revisa o seguinte:
      • ThreatLookupResultSysId:sys_id do registro do resultado da pesquisa de ameaças
      • sourceName: nome da origem da pesquisa de ameaças.
      Extração de tática Opção que você especifica para extrair informações relacionadas à tática da carga bruta. Se uma carga útil contiver informações relacionadas a táticas e técnicas específicas, você poderá extrair e anexar as informações ao incidente de segurança.
    4. Clique em Enviar.

    Usar regras de extração automática do SIEM

    Use as regras de extração automática do SIEM para importar as informações MITRE-ATT&CK de quaisquer integrações de terceiros do SIEM Security Operations existentes.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: criar, gravar, excluir acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    A regra de extração de técnica está disponível para todas as integrações de SIEM do sistema de base Security Operations, como Splunk, IBM QRadar e integrações de ArcSight. Quando o Now Platform ingere dados de alerta ou evento dessas integrações de SIEM e eles contêm informações MITRE-ATT&CK, o Now Platform processa a carga útil bruta e extrai automaticamente as informações MITRE-ATT&CK.

    Se o seu Now Platform contém integrações de SIEM do sistema de base, isso significa que as regras de extração de técnica já foram criadas no módulo MITRE-ATT&CK. Você deve revisar e modificar as regras conforme necessário.

    Habilite a regra de extração automática do SIEM ou a regra de alerta de cada vez.

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Administração do MITRE ATT&CK > Regra de extração da técnica.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 2. Formulário Regra de extração de técnica
      Campo Descrição
      Nome Nome da regra de extração automática.
      Tipo de Regra Tipo de regra de extração automática. Selecione SIEM.
      Ignorar extração automática Configuração que por padrão está desmarcada. Esta configuração permite a extração automática de MITRE-ATT&CK técnicas.
      Importar Tabela Tabela de importação que é mapeada automaticamente para integrações de SIEM do sistema de base. Revise este campo para outras integrações de SIEM para as informações de MITRE-ATT&CK e mapeie de acordo.
      Importar campo Campo de importação que é mapeado automaticamente para integrações de SIEM do sistema de base. Revise este campo para outras integrações de SIEM para as informações de MITRE-ATT&CK e mapeie de acordo.
      Descrição Regra de extração automática.
      Método de processo Regex ou um método de script que você especifica para vincular as informações da técnica da carga bruta.
      Extração de Regex Opção que você especifica para o Campo de destino ao usar o método regex. A extração de regex é o método de processo padrão.
      Extração de script Método de processo de script que você usa se quiser personalizar como as informações de MITRE-ATT&CK são extraídas.
      Extração de tática Opção que você especifica para extrair informações relacionadas à tática da carga bruta. Se uma carga útil contiver informações relacionadas a táticas e técnicas específicas, você poderá extrair e anexar as informações ao incidente de segurança.

      Na ilustração a seguir, você vê um exemplo da regra de extração da técnica SIEM Splunk Enterprise na exibição de formulário. Esta regra é semelhante a todas as outras regras de extração de técnica de SIEM.

      Regra de extração da técnica Splunk.
    4. Clique em Enviar.