Extrair automaticamente regras de técnica para importação MITRE-ATT&CK informações

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • Use as regras de extração automática do sistema de base para importar o. MITRE-ATT&CK informações de integrações de terceiros existentes.

    Use regras de extração automática de pesquisa de ameaças

    Use as regras de extração automática de pesquisa de ameaças para importar o. MITRE-ATT&CK informações de qualquer existente Inteligência contra ameaças integrações de terceiros.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: criar, gravar, excluir acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    Quando houver Inteligência contra ameaças A integração, como Sandbox ou uma TIP, oferece suporte ao MITRE-ATT&CK e se o MITRE-ATT&CK as informações são analisadas em cada nível de integração e, em seguida, as informações são exibidas em cada registro de resultado da pesquisa de ameaças. No entanto, nem todos Inteligência contra ameaças as integrações analisam o. MITRE-ATT&CK informações. A regra de extração automática global de pesquisa de ameaças pode extrair MITRE-ATT&CK informações de todos Inteligência contra ameaças integrações.

    Você pode optar por acumular o. MITRE-ATT&CK informações automaticamente dos resultados da pesquisa de ameaças para um incidente de segurança. Para acúmulo automático de resultados de pesquisa de ameaças para incidentes de segurança, habilite a propriedade do sistema . Como alternativa, você pode acumule as informações manualmente para cada pesquisa de ameaça individual.

    O sistema de base Inteligência contra ameaças extrai automaticamente o. MITRE-ATT&CK informações da carga bruta de integrações de terceiros para o registro de resultado da pesquisa de ameaças, se for Inteligência contra ameaças a integração fornece a você MITRE-ATT&CK informações como a técnica ou tática.

    . MITRE-ATT&CK as informações não estão disponíveis no campo de carga bruta do registro de pesquisa de ameaças, então você deve definir sua própria regra para extração automática da integração de terceiros.

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Administração do MITRE ATT&CK > Regra de extração da técnica.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Regra de extração de técnica
      Campo Descrição
      Nome Nome da regra de extração automática.
      Tipo de regra Tipo de regra de extração automática. Selecione Pesquisa de ameaças .
      Ignorar extração automática Definir que, por padrão, é desmarcada. Esta configuração habilita a extração automática de MITRE-ATT&CK técnicas.
      Mecanismo de Origem Mecanismo de origem.
      Global Configuração do mecanismo de origem. Quando você define o mecanismo de origem como Global , a extração é executada em todos os resultados de integração da pesquisa de ameaças.
      Descrição Descrição da regra de extração automática.
      Método de processo Regex ou um método de script especificado para vincular as informações da técnica da carga bruta.
      Extração de regex Opção especificada para Campo de destino ao usar o método de extração regex. Regex é o padrão.
      Extração de script Processo selecionado ao executar um script. O script revisa o seguinte:
      • ThreatLookupResultSysId:sys_id do registro do resultado da pesquisa de ameaças
      • SourceName: Nome da origem da pesquisa de ameaças.
      Extração de tática Opção especificada para extrair informações relacionadas à tática da carga bruta. Se uma carga contiver informações específicas relacionadas a táticas e técnicas, você poderá extrair e anexar as informações ao incidente de segurança.
    4. Clique em Enviar.

    Use regras de extração automática DE SIEM

    Use as regras de extração automática DO SIEM para importar o. MITRE-ATT&CK informações de qualquer existente Operações de segurança Integrações de terceiros DO SIEM.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: criar, gravar, excluir acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    A regra de extração de técnica está disponível para todos os sistemas de base Operações de segurança Integrações DE SIEM, como integrações Splunk, IBM QRadar e ArcSight. . ServiceNow AI Platform Ingere dados de alerta ou evento dessas integrações DE SIEM e eles contêm MITRE-ATT&CK. ServiceNow AI Platform processa a carga bruta e extrai automaticamente o. MITRE-ATT&CK informações.

    . ServiceNow AI Platform Contém integrações de SIEM do sistema de base, o que significa que as regras de extração de técnica já foram criadas no MITRE-ATT&CK módulo. Você deve revisar e modificar as regras conforme necessário.

    Habilite a regra de extração automática DE SIEM ou a regra de alerta de cada vez.

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Administração do MITRE ATT&CK > Regra de extração da técnica.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 2. Formulário Regra de extração de técnica
      Campo Descrição
      Nome Nome da regra de extração automática.
      Tipo de regra Tipo de regra de extração automática. Selecione SIEM .
      Ignorar extração automática A configuração que, por padrão, é desmarcada. Esta configuração habilita a extração automática de MITRE-ATT&CK técnicas.
      Importar Tabela Tabela de importação que é mapeada automaticamente para integrações DE SIEM do sistema de base. Revise este campo para outras integrações DE SIEM para MITRE-ATT&CK e mapa de acordo.
      Importar campo Campo de importação que é mapeado automaticamente para integrações DE SIEM do sistema de base. Revise este campo para outras integrações DE SIEM para MITRE-ATT&CK e mapa de acordo.
      Descrição Regra de extração automática.
      Método de processo Regex ou um método de script especificado para vincular as informações da técnica da carga bruta.
      Extração de regex Opção especificada para Campo de destino ao usar o método regex. A extração de regex é o método de processo padrão.
      Extração de script Método de processo de script que você usa se quiser personalizar como MITRE-ATT&CK as informações são extraídas.
      Extração de tática Opção especificada para extrair informações relacionadas à tática da carga bruta. Se uma carga contiver informações específicas relacionadas a táticas e técnicas, você poderá extrair e anexar as informações ao incidente de segurança.

      Na ilustração a seguir, você vê um exemplo do Splunk Enterprise Regra de extração da técnica SIEM na exibição do formulário. Esta regra é semelhante a todas as outras regras de extração da técnica SIEM.

      Regra de extração da técnica Splunk.
    4. Clique em Enviar.