Acúmulo MITRE-ATT&CK informações das regras de detecção

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 1 min. de leitura

    • Habilitar rollup de MITRE-ATT&CK informações das regras de detecção aos incidentes de segurança para melhor análise de incidentes de segurança e ameaças.

    Antes de Iniciar

    Função necessária: nenhuma

    Certifique-se de ter realizado o seguinte:
    • Habilite o. Acumular informações DO MITRE ATT&ACK automaticamente de regras de alerta para incidentes de segurança propriedade em Propriedades módulo. Por padrão, esta opção está desabilitada. Para obter mais informações, consulte Revise as propriedades do sistema MITRE-ATT&CK .
    • Execute o mapeamento de regras de detecção para MITRE-ATT&CK TTPs em Regras de detecção - Mapeamento MITRE ATT&CK TTP módulo. O nome da regra de detecção deve corresponder ao nome da regra de alerta que aciona o incidente de segurança. Para obter mais informações, consulte Crie e mapeie regras de detecção.

    Por Que e Quando Desempenhar Esta Tarefa

    Se você não pretende usar as regras de extração automática SIEM do sistema de base, habilite o rollup automático de MITRE-ATT&CK TTPs baseados no mapeamento de regra de detecção. Você pode preencher o alerta ou a regra de evento que aciona o incidente de segurança no Regra de alerta campo nome. Você também pode preencher Regra de alerta Nomeie o campo usando integração SIEM, análise de e-mail, criação manual e assim por diante.

    Procedimento

    1. Navegar até Administração do MITRE ATT&CK > Propriedades.
    2. Habilite a propriedade Rollup MITRE ATT&ACK information from alert rules to security incidents e clique em Salvar .
      Por padrão, esta opção está desabilitada.
    3. Você precisa preencher Regra de alerta campo nome do incidente de segurança com as regras de alerta necessárias.
      Nota:
      Adicione o exato Regra de alerta nome. Para adicionar várias regras, você precisa adicionar as regras usando um separador de vírgula.
    4. Clique com o botão direito do mouse no formulário e clique em Salvar .
      Se o valor do nome da regra de alerta no incidente de segurança corresponder a um registro no módulo Regra de detecção - Mapeamento MITRE ATT&CK TTP, as técnicas e táticas correspondentes associadas à regra de alerta serão vinculadas ao incidente de segurança automaticamente.

      Esta ilustração mostra como acumular informações DO MITRE das regras de detecção para um incidente de segurança.

    5. Abra o incidente de segurança e selecione MITRE ATT&CK e valide se as técnicas estão acumuladas.
    6. Habilitar Mostrar origem das técnicas opção para exibir a origem das técnicas.
      A origem das técnicas deve ser Regra de detecção .