検出ルールからの MITRE-ATT&CK 情報をロールアップする

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • 検出ルールからセキュリティインシデントへの MITRE-ATT&CK 情報のロールアップを可能にして、セキュリティインシデントと脅威の分析を強化します。

    始める前に

    必要なロール:なし。

    次を実行していることを確認してください。
    • [プロパティ] モジュールの [アラートルールからセキュリティインシデントに MITER ATT&CK 情報を自動的にロールアップ] プロパティを有効にします。デフォルトでは、このオプションは無効になっています。詳細については、「Review the MITRE-ATT&CK system properties (MITRE-ATT&CK システムのプロパティを確認する)」を参照してください。
    • [検出ルール - MITRE ATT&CK TTP マッピング] モジュールで、検出ルールの MITRE-ATT&CK TTP へのマッピングを実行します。検出ルール名は、セキュリティインシデントをトリガーするアラートルール名と一致する必要があります。詳細については、「検出ルールの作成とマッピング」を参照してください。

    このタスクについて

    ベースシステムの SIEM 自動抽出ルールを使用しない場合は、検出ルールマッピングに基づいて MITRE-ATT&CK TTP の自動ロールアップを有効にします。セキュリティインシデントをトリガーするアラートまたはイベントルールを [アラートルール] の名前フィールドに入力できます。また、SIEM 統合、メールの解析、手動での作成などを利用して、[アラートルール] の名前フィールドに入力することができます。

    手順

    1. 次のように移動する。 MITRE ATT&CK 管理 > プロパティ.
    2. [アラートルールからセキュリティインシデントに MITER ATT&CK 情報を自動的にロールアップ (Rollup MITRE ATT&ACK information automatically from alert rules to security incidents)] プロパティを有効にし、[保存] をクリックします。
      デフォルトでは、このオプションは無効になっています。
    3. セキュリティインシデントの [アラートルール] の名前フィールドに、必要なアラートルールを入力する必要があります。
      注:
      正確な [アラートルール] の名前を追加していることを確認してください。複数のルールを追加するには、カンマ区切り文字を使用してルールを追加する必要があります。
    4. フォームを右クリックし、[保存] をクリックします。
      セキュリティインシデントのアラートルール名の値が [検出ルール - MITRE ATT&CK TTP マッピング] モジュールのレコードと一致する場合、アラートルールに関連付けられた対応するテクニックと戦術が自動的にセキュリティインシデントにリンクされます。

      この図は、検出ルールからセキュリティインシデントに MITRE 情報をロールアップする方法を示しています。

    5. セキュリティインシデントを開き、[MITRE ATT&CK カード] を選択して、テクニックがロールアップされているかどうかを検証します。
    6. [テクニックの由来を表示 (Show origin of techniques)] オプションを有効にして、テクニックの由来を表示します。
      テクニックの由来は、検出ルールである必要があります。