Criar e mapear regras de detecção

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Crie regras de detecção e mapeie-as em relação às táticas e técnicas. Com este mapeamento, você pode ver a cobertura das regras de detecção em sua organização.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: criar, gravar, excluir acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    O mapeamento de regra de detecção permite que sua organização veja quais regras de detecção estão disponíveis para identificar técnicas específicas.

    O objetivo primário do mapeamento é fornecer visibilidade se sua organização tiver as regras de detecção necessárias para identificar quando um alerta ou evento for acionado como resultado de um ataque de um adversário usando uma técnica específica.

    Por exemplo, exiba a ilustração a seguir que mostra uma lista das regras de detecção mapeadas para várias técnicas. Você também pode exibir essas informações em o MITRE-ATT&CK navegador.

    Regras de detecção do MITRE ATT&CK.

    Se você não pretende usar as regras de extração automática do SIEM do sistema de base, habilite o acúmulo automático de MITRE-ATT&CK TTPs com base no mapeamento da regra de detecção. Você pode preencher o alerta ou a regra de evento que aciona o incidente de segurança no campo Nome da regra de alerta. Você também pode preencher o campo Nome da regra de alerta usando a integração de SIEM, a análise de e-mail, a criação manual etc. Para obter mais informações, consulte Informações de acúmulo MITRE-ATT&CK das regras de detecção.

    Nota:

    O recurso de regras de detecção foi atualizado para incluir o mapeamento de uma única tática para várias técnicas. Anteriormente, você poderia mapear uma única tática com uma única técnica. Se você estiver atualizando o plug-in Inteligência contra ameaças da versão 12.0.4 para uma versão superior, revise os pontos a seguir antes de usar as regras de detecção no módulo MITRE-ATT&CK.

    • Você encontrará vários registros mesclados em um único registro se os campos - nome da regra, sensor de alerta, origem, categoria, subcategoria e MITRE-ATT&CK tática forem comuns.
    • Os registros antigos são marcados como verdadeiros na coluna obsoleta e falsos na coluna ativa.
    • Os novos registros mesclados estão disponíveis para uso e são marcados como falsos na coluna obsoleta e verdadeiros na coluna ativa.
    • Depois de verificar a atualização e exibir que todas as suas regras de detecção foram migradas com sucesso, você pode excluir os registros antigos que estão marcados como verdadeiros na coluna obsoleta.

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Administração do MITRE ATT&CK > Regras de detecção — Mapeamentos MITRE ATT&CK.
    2. Use um dos seguintes métodos para criar sua regra de detecção:
      Método 1: crie regras de detecção manualmente.
      1. Clique em Novo e preencha os campos no formulário.
        Tabela 1. Regras de detecção - Mapeamento MITRE-ATT&CK
        Campo Descrição
        Nome de Regra Nome da regra de detecção.
        MITRE-ATT&CK Tática Relevante MITRE-ATT&CK tática.
        MITRE-ATT&CK Técnicas Relevante MITRE-ATT&CK técnica. Você pode selecionar várias técnicas para uma única tática.
        Fonte Origem do incidente de segurança, como e-mail, firewall, monitoramento de rede e assim por diante.
        Sensor de alerta Integração de segurança por meio da qual você ingere os dados de alerta ou evento, como Carbonblack, CrowdStrike, McAfee e assim por diante.
        Subcategoria Subcategoria que define ainda mais o problema.
        Categoria Categoria que identifica o tipo de problema de segurança.
        MITRE-ATT&CK Técnica Relevante MITRE-ATT&CK técnica. Você pode selecionar várias técnicas para uma única tática.
        Contagem de incidentes de segurança O número de incidentes de segurança aos quais as técnicas são anexadas. Essa contagem aparece quando você habilita o acúmulo de MITRE-ATT&CK informações automaticamente de regras de alerta para incidentes de segurança.
        Preterido O mapeamento da regra de detecção está obsoleto.
        Ativo Opção para especificar se a regra de detecção está ativa e implantada em seu ambiente.

        Exemplo de regras de detecção.

      2. Clique em Enviar.
      Método 2: importe e crie regras de detecção.
      1. Clique com o botão direito do mouse no cabeçalho da coluna Nome da regra.
      2. Na lista, clique em Importar.
      3. Clique em Criar modelo do Excel.
      4. Clique em Download após a conclusão da exportação. Um modelo do Excel com o nome de arquivo sn_ti_alert_rules_mitre_attack_technique_mapping é baixado para o seu computador.

        Na ilustração a seguir, você vê como exportar o modelo do Excel, preencher os detalhes na planilha, carregar o arquivo, visualizar os campos e importá-lo de volta para o Now Platform.

        Baixe o modelo de importação do MITRE.
      5. Abra a planilha, selecione a segunda guia da planilha e revise o que você inseriu. No formulário, preencha os campos e salve o arquivo.
        Tabela 2. Importar modelo
        Campo Descrição
        Nome de Regra Nome da regra de detecção.
        Ativo Opção para especificar se a regra de detecção está ativa e implantada em seu ambiente.
        Sensor de alerta Integração de segurança por meio da qual você ingere os dados de alerta ou evento, como Carbonblack, CrowdStrike, McAfee e assim por diante.
        Categoria Categoria que identifica o tipo de problema de segurança.
        Comentários Descrição sobre a regra de detecção.
        Preterido O mapeamento da regra de detecção está obsoleto.
        MITRE-ATT&CK IDs de técnica MITRE-ATT&CK ID de técnica, como T1546.008, para Recursos de acessibilidade.
        MITRE-ATT&CK ID da tática MITRE-ATT&CK ID de tática, como TA0003, para Persistência.
        Contagem de incidentes de segurança O número de incidentes de segurança aos quais as técnicas são anexadas. Esta contagem aparece quando você habilitou o acúmulo de MITRE-ATT&CK informações automaticamente de regras de alerta para incidentes de segurança e a regra de detecção está ativa.
        Fonte Origem do incidente de segurança, como e-mail, firewall, monitoramento de rede e assim por diante.
        Subcategoria Subcategoria que define ainda mais o problema.
        MITRE-ATT&CK Tática Relevante MITRE-ATT&CK tática.
        MITRE-ATT&CK Técnica Relevante MITRE-ATT&CK técnica.

        A ilustração a seguir mostra o modelo de planilha. Os campos obrigatórios são destacados em vermelho - Nome da regra, MITRE-ATT&CK ID da tática e MITRE-ATT&CK ID da técnica.

        Atualize os detalhes de mapeamento no modelo de planilha.

      6. Clique em Escolher arquivo e selecione a planilha no seu computador.
      7. Clique em Carregar.
      8. Clique em Visualizar dados importados.
      9. Visualize os mapeamentos e clique em Concluir importação.

        A ilustração a seguir mostra como carregar a planilha, visualizar os dados, revisar quaisquer erros e concluir o processo de importação de mapeamento de regra de detecção.

        Carregue a planilha para concluir o mapeamento da regra de detecção.