정보 임포트 MITRE-ATT&CK 를 위한 기술 규칙 자동 추출

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 기본 시스템 자동 추출 규칙을 사용하여 기존 외부 공급업체 통합에서 정보를 임포트 MITRE-ATT&CK 합니다.

    위협 조회 자동 추출 규칙 사용

    위협 조회 자동 추출 규칙을 사용하여 기존 위협 인텔리전스 외부 공급업체 통합에서 정보를 임포트 MITRE-ATT&CK 합니다.

    시작하기 전에

    필요한 역할:
    • sn_ti.admin, sn_si.admin: 생성, 쓰기, 삭제 권한
    • sn_ti.read: 읽기 액세스

    이 태스크 정보

    위협 인텔리전스 샌드박스 또는 TIP와 같은 통합이 프레임워크를 MITRE-ATT&CK 지원하고 각 통합 수준에서 정보를 구문 분석하면 MITRE-ATT&CK 각 위협 조회 결과 기록에 정보가 표시됩니다. 그러나 모든 위협 인텔리전스 통합이 정보를 구문 분석하는 것은 아닙니다.MITRE-ATT&CK 위협 조회 전역 자동 추출 규칙은 모든 위협 인텔리전스 통합에서 정보를 추출 MITRE-ATT&CK 할 수 있습니다.

    위협 조회 결과의 MITRE-ATT&CK 정보를 보안 인시던트로 자동으로 롤업하도록 선택할 수 있습니다. 위협 조회 결과를 보안 인시던트로 자동 롤업하려면 시스템 속성을 활성화합니다. 또는 각 개별 위협 조회에 대한 정보를 수동으로 롤업 할 수 있습니다.

    통합이 위협 인텔리전스 기술 또는 전술과 같은 정보를 제공하는 MITRE-ATT&CK 경우 기본 시스템은 위협 인텔리전스 외부 공급업체 통합 원시 페이로드에서 위협 조회 결과 기록으로 정보를 자동으로 추출 MITRE-ATT&CK 합니다.

    위협 조회 기록의 원시 페이로드 필드에서 정보를 사용할 수 없는 경우 MITRE-ATT&CK 외부 공급업체 통합에서 자동 추출하기 위한 고유한 규칙을 정의해야 합니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 관리 > 기술 추출 규칙.
    2. 새로 만들기를 클릭합니다.
    3. 양식에서 필드를 채웁니다.
      표 1. 기술 추출 규칙 양식
      필드 설명
      이름 자동 추출 규칙 이름입니다.
      규칙 유형 자동 추출 규칙 유형입니다. 위협 조회를 선택합니다.
      자동 추출 무시 기본적으로 이 설정은 지워집니다. 이 설정을 사용하면 기술을 자동으로 추출할 MITRE-ATT&CK 수 있습니다.
      소스 엔진 소스 엔진입니다.
      전역 소스 엔진 설정입니다. 소스 엔진을 전역으로 설정하면 모든 위협 조회 통합 결과에 대해 추출이 실행됩니다.
      설명 자동 추출 규칙에 대한 설명입니다.
      프로세스 방법 원시 페이로드의 기술 정보를 연결하기 위해 지정하는 정규 표현식 또는 스크립트 방법입니다.
      정규 표현식 추출 정규 표현식 추출 방법을 사용할 때 대상 필드 에 지정하는 옵션입니다. 정규 표현식이 기본값입니다.
      스크립트 추출 스크립트를 실행할 때 선택하는 프로세스입니다. 스크립트는 다음을 검토합니다.
      • threatLookupResultSysId: 위협 조회 결과 기록의 sys_id
      • sourceName: 위협 조회 소스의 이름입니다.
      전술 추출 원시 페이로드에서 방법 관련 정보를 추출하기 위해 지정하는 옵션입니다. 페이로드에 특정 전술 및 기술 관련 정보가 포함되어 있는 경우 정보를 추출하여 보안 인시던트에 추가할 수 있습니다.
    4. 제출을 클릭합니다.

    SIEM 자동 추출 규칙 사용

    SIEM 자동 추출 규칙을 사용하여 기존 보안 운영 SIEM 타사 통합에서 정보를 임포트 MITRE-ATT&CK 합니다.

    시작하기 전에

    필요한 역할:
    • sn_ti.admin, sn_si.admin: 생성, 쓰기, 삭제 권한
    • sn_ti.read: 읽기 액세스

    이 태스크 정보

    기술 추출 규칙은 Splunk, IBM QRadar 및 ArcSight 통합과 같은 모든 기본 시스템 보안 운영 SIEM 통합에 사용할 수 있습니다. 이러한 SIEM 통합에서 수집된 ServiceNow AI Platform 경보 또는 이벤트 데이터에 정보가 ServiceNow AI Platform 포함되어 MITRE-ATT&CK 있는 경우 원시 페이로드를 처리하고 정보를 자동으로 추출합니다MITRE-ATT&CK.

    기본 시스템 SIEM 통합이 포함되어 있는 경우 ServiceNow AI Platform 기술 추출 규칙이 모듈에 MITRE-ATT&CK 이미 생성되어 있음을 의미합니다. 필요에 따라 규칙을 검토하고 수정해야 합니다.

    SIEM 자동 추출 규칙 또는 경보 규칙을 한 번에 활성화합니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 관리 > 기술 추출 규칙.
    2. 새로 만들기를 클릭합니다.
    3. 양식에서 필드를 채웁니다.
      표 2. 기술 추출 규칙 양식
      필드 설명
      이름 자동 추출 규칙 이름입니다.
      규칙 유형 자동 추출 규칙 유형입니다. SIEM을 선택합니다.
      자동 추출 무시 기본적으로 지워진 설정입니다. 이 설정을 사용하면 기술을 자동으로 추출할 MITRE-ATT&CK 수 있습니다.
      임포트 테이블 기본 시스템 SIEM 통합을 위해 자동으로 매핑되는 임포트 테이블입니다. 이 필드에서 다른 SIEM 통합에 대해 정보를 검토하고 그에 따라 매핑합니다 MITRE-ATT&CK .
      임포트 필드 기본 시스템 SIEM 통합을 위해 자동으로 매핑되는 임포트 필드입니다. 이 필드에서 다른 SIEM 통합에 대해 정보를 검토하고 그에 따라 매핑합니다 MITRE-ATT&CK .
      설명 자동 추출 규칙입니다.
      프로세스 방법 원시 페이로드의 기술 정보를 연결하기 위해 지정하는 정규 표현식 또는 스크립트 방법입니다.
      정규 표현식 추출 정규 표현식 메서드를 사용할 때 대상 필드 에 대해 지정하는 옵션입니다. 정규 표현식 추출이 기본 프로세스 방법입니다.
      스크립트 추출 정보 추출 방법을 MITRE-ATT&CK 사용자 지정하려는 경우 사용하는 스크립트 프로세스 방법입니다.
      전술 추출 원시 페이로드에서 방법 관련 정보를 추출하기 위해 지정하는 옵션입니다. 페이로드에 특정 전술 및 기술 관련 정보가 포함되어 있는 경우 정보를 추출하여 보안 인시던트에 추가할 수 있습니다.

      다음 그림에서는 양식 보기에서 SIEM 기술 추출 규칙의 Splunk Enterprise 예를 볼 수 있습니다. 이 규칙은 다른 모든 SIEM 기술 추출 규칙과 유사합니다.

      Splunk 기술 추출 규칙입니다.
    4. 제출을 클릭합니다.