Règles de technique d’extraction automatique pour l’importation d’informations MITRE-ATT&CK

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Utilisez les règles d’extraction automatique du système de base pour importer les informations à partir de n’importe MITRE-ATT&CK quelle intégration tierce existante.

    Utiliser les règles d’extraction automatique de la recherche de menace

    Utilisez les règles d’extraction automatique de la recherche de menaces pour importer les informations à partir de n’importe MITRE-ATT&CK quelle intégration tierce existante Renseignements sur les menaces .

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer l’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    Lorsqu’une Renseignements sur les menaces intégration, telle qu’un bac à sable ou un TIP, prend en charge le MITRE-ATT&CK cadre de travail et si les MITRE-ATT&CK informations sont analysées à chaque niveau d’intégration, les informations sont affichées dans chaque enregistrement de résultat de recherche de menace. Cependant, toutes les Renseignements sur les menaces intégrations n’analysent pas les MITRE-ATT&CK informations. La règle d’extraction automatique globale de la recherche de menaces peut extraire MITRE-ATT&CK des informations de toutes les Renseignements sur les menaces intégrations.

    Vous pouvez choisir de déployer automatiquement les MITRE-ATT&CK informations des résultats de la recherche de menace vers un incident de sécurité. Pour le déploiement automatique des résultats de la recherche de menaces sur les incidents de sécurité, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque recherche de menace.

    Le système Renseignements sur les menaces de base extrait automatiquement les MITRE-ATT&CK informations de la charge utile brute des intégrations tierces vers l’enregistrement du résultat de la recherche de menace, si l’intégration Renseignements sur les menaces vous fournit des informations telles que MITRE-ATT&CK la technique ou la tactique.

    Si les MITRE-ATT&CK informations ne sont pas disponibles dans le champ de charge utile brute de l’enregistrement de recherche de menace, vous devez définir votre propre règle d’extraction automatique à partir de l’intégration tierce.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Administration MITRE ATT&CK > Règle d'extraction de la technique.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 1. Formulaire Règle d’extraction de technique
      Champ Description
      Nom Nom de la règle d’extraction automatique.
      Type de règle Type de règle d’extraction automatique. Sélectionnez Recherche de menace.
      Ignorer l'extraction automatique Le paramètre par défaut est effacé. Ce paramètre permet l’extraction automatique des MITRE-ATT&CK techniques.
      Moteur source Moteur source.
      Global Paramètre du moteur source. Lorsque vous définissez le moteur source sur Global, l’extraction s’exécute sur tous les résultats d’intégration de recherche de menaces.
      Description Description de la règle d’extraction automatique.
      Méthode de traitement Regex ou méthode de script que vous spécifiez pour lier les informations de technique à partir de la charge utile brute.
      Extraction Regex Option que vous spécifiez pour le champ cible lors de l’utilisation de la méthode d’extraction regex. regex est la valeur par défaut.
      Extraction de script Processus que vous sélectionnez lors de l’exécution d’un script. Le script examine les éléments suivants :
      • threatLookupResultSysId : sys_id de l’enregistrement du résultat de la recherche de menace
      • sourceName : nom de la source de recherche de menaces.
      Extraction tactique Option que vous spécifiez pour extraire les informations relatives à la tactique à partir de la charge utile brute. Si une charge utile contient des informations spécifiques liées aux tactiques et aux techniques, vous pouvez extraire les informations et les ajouter à l’incident de sécurité.
    4. Cliquez sur Envoyer.

    Utiliser les règles d’extraction automatique SIEM

    Utilisez les règles d’extraction automatique SIEM pour importer les informations à partir de n’importe MITRE-ATT&CK quelle intégration tierce SIEM existante Opérations de sécurité .

    Avant de commencer

    Rôle requis :
    • sn_ti.admin, sn_si.admin : créer, écrire, supprimer l’accès
    • sn_ti.read : accès en lecture

    Pourquoi et quand exécuter cette tâche

    La règle d’extraction technique est disponible pour toutes les intégrations SIEM du système Opérations de sécurité de base telles que les intégrations Splunk, IBM QRadar et ArcSight. Lorsque l’utilisateur ingère des données d’alerte ou d’événement à partir de ces intégrations SIEM et qu’elles ServiceNow AI Platform contiennent MITRE-ATT&CK des informations, il ServiceNow AI Platform traite la charge utile brute et extrait automatiquement les MITRE-ATT&CK informations.

    Si votre ServiceNow AI Platform contient des intégrations SIEM du système de base, cela signifie que les règles d’extraction de technique sont déjà créées dans le MITRE-ATT&CK module. Vous devez examiner et modifier les règles si nécessaire.

    Activez la règle d’extraction automatique SIEM ou la règle d’alerte à la fois.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Administration MITRE ATT&CK > Règle d'extraction de la technique.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 2. Formulaire Règle d’extraction de technique
      Champ Description
      Nom Nom de la règle d’extraction automatique.
      Type de règle Type de règle d’extraction automatique. Sélectionnez SIEM.
      Ignorer l'extraction automatique Le paramètre qui est désactivé par défaut. Ce paramètre permet l’extraction automatique des MITRE-ATT&CK techniques.
      Importer la table Table d’importation automatiquement mappée pour les intégrations SIEM du système de base. Examinez ce champ pour d’autres intégrations SIEM pour obtenir des informations et effectuez une MITRE-ATT&CK carte en conséquence.
      Champ d'importation Champ d’importation automatiquement mappé pour les intégrations SIEM du système de base. Examinez ce champ pour d’autres intégrations SIEM pour obtenir des informations et effectuez une MITRE-ATT&CK carte en conséquence.
      Description Règle d’extraction automatique.
      Méthode de traitement Regex ou méthode de script que vous spécifiez pour lier les informations de technique à partir de la charge utile brute.
      Extraction Regex Option que vous spécifiez pour le champ cible lors de l’utilisation de la méthode regex. L’extraction regex est la méthode de traitement par défaut.
      Extraction de script Méthode de processus de script que vous utilisez si vous souhaitez personnaliser la manière dont les MITRE-ATT&CK informations sont extraites.
      Extraction tactique Option que vous spécifiez pour extraire les informations relatives à la tactique à partir de la charge utile brute. Si une charge utile contient des informations spécifiques liées aux tactiques et aux techniques, vous pouvez extraire les informations et les ajouter à l’incident de sécurité.

      Dans l’illustration suivante, vous verrez un exemple de règle d’extraction de la Splunk Enterprise technique SIEM dans la vue de formulaire. Cette règle est similaire à toutes les autres règles d’extraction de la technique SIEM.

      Règle d’extraction de la technique Splunk.
    4. Cliquez sur Envoyer.