MITRE ATT&CK テクニック抽出ルール

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:7分

    • 観測事象やさまざまなデータソースから取り込まれたオブジェクトから MITRE テクニックを自動的に抽出し、観測事象レコードの脅威情報ルックアップ結果から MITRE テクニックを抽出します。

    始める前に

    必要なロール:sn_sec_tisc.admin

    注:
    使用しているインスタンスで MITRE ATT&CK リポジトリデータが利用可能であることを確認してください。データが利用できない場合、アプリケーションは抽出を実行しません。

    手順

    1. 移動先 すべて > 脅威インテリジェンスセキュリティセンター > アドミニストレーション.
    2. 検索項目 ルールエンジン > MITRE ATT&CK テクニック抽出ルール.
      [MITRE ATT&CK テクニック抽出ルール] ページが表示されます。
    3. [新規] をクリックします。
      フィールド説明
      名前 MITRE ATT&CK テクニック抽出ルールの名前を入力します。
      説明 MITRE ATT&CK テクニック抽出ルールの説明を入力します。
      統合タイプ [データソース] または [脅威情報ルックアップの結果] の MITRE ATT&CK テクニック抽出ルールを示します。ルックアップからデータソースのリストを選択します。

      [データソース] に使用できるオプションは次のとおりです。

      • データソース - すべて:脅威インテリジェンスフィード、インポートインテリジェンスレコード、API ソース (API から作成された観測事象など)、SIR から送信 (SIR から送信される観測事象)、脅威インテリジェンスライブラリでユーザーが手動で作成したさまざまなエンティティなど、すべてのタイプのデータソースにルールが適用されます。
      • データソース - 脅威インテリジェンスフィード:脅威インテリジェンスフィードにのみ適用される抽出ルールに該当します。
      • データソース - API ソース:API ソースにのみ適用される抽出ルールに該当します。
      • 脅威情報ルックアップの統合:このタイプのオプションでは、Virustotal などすべての脅威情報ルックアップの統合に抽出ルールが適用されます。
        注:
        • このオプションを選択する場合は、脅威情報ルックアップのベンダー名を入力する必要があります。ベンダー名は、脅威情報ルックアップの統合が ServiceNow ストアからインストールされた場合のみ自動的に入力されます。
        • 脅威インテリジェンスデータソースの場合、抽出ルールは STIX、MISP、およびカスタムフィードタイプでのみサポートされます。
      • 観測事象の拡張統合:このタイプのオプションでは、抽出ルールはすべての観測事象の拡張統合に適用されます。
      脅威フィードタイプ 脅威フィードタイプで使用できるオプションは次のとおりです。
      • STIX(TAXII/HTTPS):STIX TAXII または HTTPS フィードタイプの脅威フィードをフィルタリングし、関連するフィードをルックアップから選択するオプション。
      • MISP:MISP フィードタイプの脅威フィードをフィルタリングし、ルックアップアイコンで検索して関連するフィードを選択するオプション。
      • カスタムフィード:カスタムフィードタイプの脅威フィードをフィルタリングし、ルックアップアイコンで検索して関連するフィードを選択するオプション。
      フィードグループ 選択したフィードタイプの脅威フィード統合を 1 つ以上選択します。
      注:
      このフィールドを空白のままにすると、選択したフィードタイプの脅威フィード統合すべてが自動的に抽出の対象として考慮されます。
      MITRE ATT&CK の戦術とテクニックを抽出する方法 MITRE ATT&CK の戦術とテクニックの抽出方法を選択するオプション。次の 2 つの方法が利用可能です。
      1. 正規表現を使用
      2. スクリプトを使用
      抽出方法 - 正規表現を使用 この方法では正規表現を使用します。正規表現により、脅威アナリストが文字シーケンスによってパターンを定義することで抽出方法を実行できます。
      戦術的な正規表現 MITRE ATT&CK 戦術 ID を抽出するための正規表現を指定するオプション。
      テクニック正規表現 MITRE ATT&CK テクニック ID を抽出するための正規表現を指定するオプション。
      抽出方法 - スクリプトを使用 この方法では、スクリプト形式を使用して、観測事象ソース、オブジェクトソース、インジケーターソース、脅威情報ルックアップのうちいずれかの結果に対して抽出を実行します。
      注:
      • このスクリプトメソッドを使用して、エンティティソースレコードから MITRE 戦術とテクニックを抽出し、その戦術とテクニックをエンティティソースレコード自体にリンクできます。
      • このスクリプトメソッドを使用して、脅威情報ルックアップの結果から MITRE 戦術とテクニックを抽出し、その戦術とテクニックをエンティティレコードにリンクできます。
      参考としてサンプルスクリプトを以下に示します。
      (function process(lookupResultRawData, recordGr, ruleGr, lookupResultGr) {
/*********************************
 
* - threatLookupResult: The raw data of the threat lookup result  in stringified JSON format.
* - recordGr: The GlideRecord of the observable record.
* - ruleGr: GlideRecord of matched MITRE extraction rule
*
* Once you extracted MITRE tactic IDs and technique IDs,
* then you can use this method to link the tactics and techniques to the observable record.
  **********************************/  
var utils = new MITREExtractionUtils();
var parsedRawData =JSON.parse(lookupResultRawData);
var mitreDataField = parsedRawData.mitre_data; 
var response = utils.extractMITREDataUsingRegex(mitreDataField,'TA[0-9][0-9][0-9][0-9]','T[0-9][0-9][0-9][0-9].[0-9][0-9][0-9]|T[0-9][0-9][0-9][0-9]');
utils.addTacticTechniquesForLookup(response.tacticIds, response.techniqueIds, recordGr, ruleGr.getUniqueValue(), lookupResultGr);
 
})(lookupResultRawData, recordGr, ruleGr, lookupResultGr);
 
Here is a sample script example for the extraction rule for threat lookup integrations where the script logic is parsing the threat lookup raw payload and performing the extraction only on a specific field inside the raw payload and associates the extracted tactics/techniques to the observable record.
    4. 新しいルールを作成したら、[有効化] をクリックして MITRE ATT&CK テクニック抽出ルールを有効にします。
      MITRE ATT&CK テクニック抽出ルールを有効にしないと、ルールがレコードに適用されません。
      注:
      1. データソース:抽出ルールを有効にするたびに、データソースと統合タイプの組み合わせが既存の有効な抽出ルールのいずれとも一致しないようにする必要があります。一致する場合は、既存の組み合わせを変更してルールを再度有効にするようエラーメッセージが表示されます。
      2. 脅威情報ルックアップ:抽出ルールを有効にするたびに、ベンダー名が既存の有効な抽出ルールのいずれとも一致しないようにする必要があります。一致する場合は、ベンダー名を変更してルールを再度有効にするようエラーメッセージが表示されます。
      3. サンプルの MITRE ATT&CK テクニック抽出ルールがベースシステムのユーザーにプロビジョニングされています。これらのルールはデフォルトで無効ステータスになっているため、ルールを有効にしてアクティブ化する必要があります。
        フィールド 説明
        データソース取り込みの汎用ルール インポートインテリジェンスや手動作成といった、あらゆるタイプのデータソースからの取り込みに関する汎用的なルールです。
        脅威情報ルックアップの汎用ルール 脅威情報ルックアップの統合に関する汎用的なルールです。
        観測事象拡張統合の汎用ルール これは、観測事象の拡張統合の汎用ルールです。
    5. [Duplicate (複製)] をクリックして抽出ルールのコピーを作成します。
    6. [無効化 (Disable)] をクリックして抽出ルールを無効にします。
      注:
      無効にすると、そのルールは MITRE データの抽出に考慮されなくなります。
    7. [保存] をクリックします。
    8. MITRE ATT&CK テクニック抽出ルールを削除する場合は、[削除] をクリックします。