Regras de extração de técnica do MITRE ATT&CK

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Extraia técnicas DO MITRE automaticamente de observáveis ou objetos ingeridos de várias fontes de dados e também extraia técnicas DO MITRE dos resultados da pesquisa de ameaças no registro do observável.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Nota:
    Certifique-se de verificar se os dados do repositório MITRE ATT&CK estão disponíveis na instância que você está usando. Se os dados não estiverem disponíveis, a aplicação não executará a extração.

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Ir para Mecanismo de regras > Regras de extração de técnica do MITRE ATT&CK.
      A página Regras de extração da técnica MITRE ATT&CK é exibida.
    3. Clique em Nova.
      CampoDescrição
      Nome Insira um nome para a regra de extração de técnica MITRE ATT&CK.
      Descrição Insira uma descrição para a regra de extração de técnica MITRE ATT&CK.
      Tipo de Integração Indica a regra de extração da técnica MITRE ATT&CK para as fontes de dados ou resultados da pesquisa de ameaças. Selecione a lista de fontes de dados na pesquisa.

      Estas são as opções disponíveis para Fontes de dados:

      • Fontes de dados - Todas : O que significa que a regra é aplicável a todos os tipos de fontes de dados, como Feeds da Intel contra ameaças, registros da Inteligência de importação, origens de API (por exemplo, observáveis criados a partir da API), enviados do SIR (observáveis enviados do SIR) e várias entidades criadas manualmente pelos usuários na biblioteca de Inteligência contra ameaças.
      • Fontes de dados - Feeds da Intel contra ameaças Corresponde às regras de extração que são aplicáveis somente aos feeds de inteligência contra ameaças.
      • Fontes de dados - Fontes de API Corresponde às regras de extração que são aplicáveis somente para origens de API.
      • Integrações da Pesquisa de ameaças : Para este tipo de opção, a regra de extração é aplicável a todas as integrações de pesquisa de ameaças, como Virustotal.
        Nota:
        • Ao selecionar esta opção, você deve inserir o nome do fornecedor para a pesquisa de ameaças. Os nomes dos fornecedores são preenchidos automaticamente somente quando as integrações de pesquisa de ameaças são instaladas do ServiceNow store.
        • Para as fontes de dados de inteligência contra ameaças, as regras de extração são compatíveis somente com os tipos STIX, MISP e Feed personalizado.
      • Integrações de aprimoramento de observável : para este tipo de opção, a regra de extração é aplicável a todas as integrações de aprimoramento observável.
      Tipo de feed de ameaça Estas são as opções disponíveis para o Tipo de feed de ameaças:
      • STIX (TAXII/HTTPS) Opção para filtrar os feeds de ameaças do tipo de feed STIX TAXII ou HTTPS e selecionar os feeds associados na pesquisa.
      • MISP : Opção para filtrar os feeds de ameaça do tipo de feed MISP e selecionar os feeds associados pesquisando usando o ícone de pesquisa.
      • Feed personalizado : Opção para filtrar os feeds de ameaça do tipo de feed personalizado e selecionar os feeds associados pesquisando usando o ícone de pesquisa.
      Feeds Selecione uma ou mais integrações de feed de ameaças para o tipo de feed selecionado.
      Nota:
      Se este campo for deixado em branco, todas as integrações de feed de ameaças para o tipo de feed selecionado serão consideradas automaticamente para a extração.
      Método para extrair táticas e técnicas do MITRE ATT&CK Opção para selecionar o método Extrair táticas e técnicas DO MITRE ATT&CK. Os dois métodos disponíveis são:
      1. Usar Regex
      2. Usar script
      Método de extração - Use Regex Este método usa uma expressão regular que permite que os analistas de ameaças definam um padrão com uma sequência de caracteres para executar o método de extração.
      Regex de tática Opção para fornecer expressão regular para a extração de IDs de tática MITRE ATT&CK.
      Regex de técnica Opção para fornecer expressão regular para a extração de IDs de técnica MITRE ATT&CK.
      Método de extração - Use script Este método usa um formato de script para executar a extração na origem do observável ou na origem do objeto ou na origem do indicador ou nos resultados da pesquisa de ameaça.
      Nota:
      • Este método de script pode ser usado para extrair táticas e técnicas DO MITRE do registro de origem da entidade e vincular as táticas e técnicas ao próprio registro de origem da entidade.
      • Este método de script pode ser usado para extrair táticas e técnicas DO MITRE dos resultados da pesquisa de ameaças e vincular as táticas e técnicas ao registro da entidade.
      O script de amostra é mostrado abaixo para sua referência:
      (function process(lookupResultRawData, recordGr, ruleGr, lookupResultGr) {
/*********************************
 
* - threatLookupResult: The raw data of the threat lookup result  in stringified JSON format.
* - recordGr: The GlideRecord of the observable record.
* - ruleGr: GlideRecord of matched MITRE extraction rule
*
* Once you extracted MITRE tactic IDs and technique IDs,
* then you can use this method to link the tactics and techniques to the observable record.
  **********************************/  
var utils = new MITREExtractionUtils();
var parsedRawData =JSON.parse(lookupResultRawData);
var mitreDataField = parsedRawData.mitre_data; 
var response = utils.extractMITREDataUsingRegex(mitreDataField,'TA[0-9][0-9][0-9][0-9]','T[0-9][0-9][0-9][0-9].[0-9][0-9][0-9]|T[0-9][0-9][0-9][0-9]');
utils.addTacticTechniquesForLookup(response.tacticIds, response.techniqueIds, recordGr, ruleGr.getUniqueValue(), lookupResultGr);
 
})(lookupResultRawData, recordGr, ruleGr, lookupResultGr);
 
Here is a sample script example for the extraction rule for threat lookup integrations where the script logic is parsing the threat lookup raw payload and performing the extraction only on a specific field inside the raw payload and associates the extracted tactics/techniques to the observable record.
    4. Clique em Habilitar Para habilitar a regra de extração de técnica MITRE ATT&CK após criar uma nova regra.
      Se você não habilitar a regra de extração de técnica MITRE ATT&CK, a regra não será aplicada ao registro.
      Nota:
      1. Fontes de dados: Sempre que você habilitar a regra de extração, a combinação de fontes de dados e o tipo de integração não deve corresponder a nenhuma das regras de extração habilitadas existentes e, em caso afirmativo, a aplicação exibirá uma mensagem de erro para você modificar as combinações existentes e habilitar novamente a regra.
      2. Pesquisa de ameaças: Sempre que você habilitar a regra de extração, o nome do fornecedor não deve corresponder a nenhuma das regras de extração habilitadas existentes e, em caso afirmativo, a aplicação exibirá uma mensagem de erro para você modificar o nome do fornecedor e habilitar novamente a regra.
      3. Um exemplo de regras de extração da técnica MITRE ATT&CK são provisionadas para os usuários no sistema de base e essas regras estarão no estado desabilitado por padrão e você deve habilitar e ativar a regra.
        Campo Descrição
        Regra genérica para ingestão de fontes de dados Esta é uma regra genérica para ingestão de todos os tipos de fontes de dados, incluindo Inteligência de importação e criação manual.
        Regra genérica para Pesquisa de ameaças Esta é uma regra genérica para qualquer integração de pesquisa de ameaças.
        Regra genérica para integrações de aprimoramento de observável Esta é uma regra genérica para qualquer integração de aprimoramento de observável.
    5. Clique em Duplicado para criar uma cópia da regra de extração.
    6. Clique em Desabilitar para desabilitar a regra de extração.
      Nota:
      Quando estiver desabilitada, a regra não será mais considerada para a extração de dados DO MITRE.
    7. Clique em Salvar.
    8. Clique em Excluir Se você deseja excluir qualquer regra de extração de técnica MITRE ATT&CK.