Crie e mapeie regras de detecção

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • Crie regras de detecção e mapeie-as em relação às táticas e técnicas. Com este mapeamento, você pode ver a cobertura das regras de detecção em sua organização.

    Antes de Iniciar

    Função necessária:
    • sn_ti.admin, sn_si.admin: criar, gravar, excluir acesso
    • sn_ti.read: acesso de leitura

    Por Que e Quando Desempenhar Esta Tarefa

    O mapeamento de regra de detecção permite que sua organização veja quais regras de detecção estão disponíveis para identificar técnicas específicas.

    O objetivo principal do mapeamento é fornecer visibilidade se sua organização tiver as regras de detecção necessárias para identificar quando um alerta ou evento é acionado como resultado de um ataque de um adversário usando uma técnica específica.

    Por exemplo, exiba a ilustração a seguir que mostra uma lista das regras de detecção mapeadas para várias técnicas. Você também pode exibir essas informações em o MITRE-ATT&CK navegador.

    Regras de detecção DO MITRE ATT&CK.

    Se você não pretende usar as regras de extração automática SIEM do sistema de base, habilite o rollup automático de MITRE-ATT&CK TTPs baseados no mapeamento de regra de detecção. Você pode preencher o alerta ou a regra de evento que aciona o incidente de segurança no Regra de alerta campo nome. Você também pode preencher Regra de alerta Campo Nome usando integração SIEM, análise de e-mail, criação manual etc. Para obter mais informações, consulte Acúmulo MITRE-ATT&CK informações das regras de detecção.

    Nota:

    O recurso de regras de detecção foi atualizado para incluir o mapeamento de uma única tática para várias técnicas. Anteriormente, você podia mapear uma única tática com uma única técnica. Se você estiver atualizando o. Inteligência contra ameaças plug-in da versão 12.0.4 para uma versão superior e, em seguida, revise os seguintes pontos antes de usar as regras de detecção em MITRE-ATT&CK módulo.

    • Vários registros são mesclados em um único registro se os campos - nome da regra, sensor de alerta, origem, categoria, subcategoria, e. MITRE-ATT&CK táticas são comuns.
    • Os registros antigos são marcados como verdadeiro na coluna descontinuado e falso na coluna ativa.
    • Os novos registros mesclados estão disponíveis para uso e são marcados como falso na coluna descontinuado e verdadeiro na coluna ativa.
    • Depois de verificar o upgrade e exibir que todas as regras de detecção foram migradas com sucesso, você pode excluir os registros antigos marcados como verdadeiros na coluna Descontinuado.

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Administração do MITRE ATT&CK > Regras de detecção — Mapeamentos do MITRE ATT&CK.
    2. Use um dos seguintes métodos para criar sua regra de detecção:
      Método 1: Criar regras de detecção manualmente.
      1. Clique em Novo e no formulário, preencha os campos.
        Tabela 1. Regras de detecção - MITRE-ATT&CK Mapeamento
        Campo Descrição
        Nome de Regra Nome da regra de detecção.
        MITRE-ATT&CK Tática Relevante MITRE-ATT&CK tática.
        MITRE-ATT&CK Técnicas Relevante MITRE-ATT&CK técnica. Você pode selecionar várias técnicas para uma única tática.
        Origem Origem do incidente de segurança, como e-mail, firewall, monitoramento de rede e assim por diante.
        Sensor de alerta Integração de segurança por meio da qual você ingere os dados de alerta ou evento, como Carbon Black, CrowdStrike, McAfee e assim por diante.
        Subcategoria Subcategoria que define melhor o problema.
        Categoria Categoria que identifica o tipo de problema de segurança.
        MITRE-ATT&CK Técnica Relevante MITRE-ATT&CK técnica. Você pode selecionar várias técnicas para uma única tática.
        Contagem de incidentes de segurança O número de incidentes de segurança aos quais as técnicas são anexadas. Essa contagem aparece quando você habilita o acúmulo de MITRE-ATT&CK informações automaticamente de regras de alerta a incidentes de segurança.
        Preterido O mapeamento de regra de detecção foi descontinuado.
        Ativo Opção para especificar se a regra de detecção está ativa e implantada em seu ambiente.

        Exemplo de regras de detecção.

      2. Clique em Enviar.
      Método 2: Importar e criar regras de detecção.
      1. Clique com o botão direito do mouse no cabeçalho da coluna Nome da regra.
      2. Na lista, clique em Importação .
      3. Clique em Criar modelo do Excel .
      4. Clique em Download após a conclusão da exportação. Um modelo do excel com o nome de arquivo sn_ti_alert_rules_miter_attack_technique_mapping é baixado para o seu computador.

        Na ilustração a seguir, você verá como exportar o modelo do excel, preencher os detalhes na planilha, carregar o arquivo, visualizar os campos e importá-lo de volta para ServiceNow AI Platform.

        Modelo de importação de download do MITRE.
      5. Abra a planilha, selecione a segunda guia da planilha e revise o que você inseriu. No formulário, preencha os campos e salve seu arquivo.
        Tabela 2. Modelo de importação
        Campo Descrição
        Nome de Regra Nome da regra de detecção.
        Ativo Opção para especificar se a regra de detecção está ativa e implantada em seu ambiente.
        Sensor de alerta Integração de segurança por meio da qual você ingere os dados de alerta ou evento, como Carbon Black, CrowdStrike, McAfee e assim por diante.
        Categoria Categoria que identifica o tipo de problema de segurança.
        Comentários Descrição sobre a regra de detecção.
        Preterido O mapeamento de regra de detecção foi descontinuado.
        MITRE-ATT&CK IDs de técnica MITRE-ATT&CK ID da técnica, como T1546.008, para Recursos de acessibilidade.
        MITRE-ATT&CK ID da tática MITRE-ATT&CK ID da tática, como TA0003, para Persistência.
        Contagem de incidentes de segurança O número de incidentes de segurança aos quais as técnicas são anexadas. Essa contagem aparece quando você habilita o acúmulo de MITRE-ATT&CK informações automaticamente de regras de alerta a incidentes de segurança e a regra de detecção está ativa.
        Origem Origem do incidente de segurança, como e-mail, firewall, monitoramento de rede e assim por diante.
        Subcategoria Subcategoria que define melhor o problema.
        MITRE-ATT&CK Tática Relevante MITRE-ATT&CK tática.
        MITRE-ATT&CK Técnica Relevante MITRE-ATT&CK técnica.

        A ilustração a seguir mostra o modelo de planilha. Os campos obrigatórios são realçados em vermelho - Nome da regra, MITRE-ATT&CK ID da tática, e. MITRE-ATT&CK ID da técnica.

        Atualize os detalhes de mapeamento no modelo de planilha.

      6. Clique em Escolha o arquivo e selecione a planilha no seu computador.
      7. Clique em Upload (Carregar).
      8. Clique em Visualizar dados importados .
      9. Visualize os mapeamentos e clique em Importação concluída .

        A ilustração a seguir mostra como carregar a planilha, visualizar os dados, revisar quaisquer erros e concluir o processo de importação de mapeamento de regra de detecção.

        Carregue a planilha para concluir o mapeamento da regra de detecção.