Automatische Extrahierungsregeln für den Import von MITRE-ATT&CK Informationen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Verwenden Sie die automatischen Extraktionsregeln des Basissystems, um die Informationen MITRE-ATT&CK aus vorhandenen Drittanbieterintegrationen zu importieren.

    Verwenden Sie automatische Extraktionsregeln für die Bedrohungssuche

    Verwenden Sie die automatischen Extraktionsregeln für die Bedrohungssuche, um die MITRE-ATT&CK -Informationen aus vorhandenen Threat Intelligence Drittanbieterintegrationen zu importieren.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Zugriff erstellen, schreiben, löschen
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn eine Threat Intelligence -Integration, z. B. Sandbox oder ein TIP, das MITRE-ATT&CK -Framework unterstützt und die MITRE-ATT&CK -Informationen auf jeder Integrationsebene analysiert werden, werden die Informationen in jedem Ergebnisdatensatz der Bedrohungssuche angezeigt. Allerdings analysieren nicht alle Threat Intelligence -Integrationen die MITRE-ATT&CK -Informationen. Die globale automatische Extraktionsregel für die Bedrohungssuche kann MITRE-ATT&CK Informationen aus allen Threat Intelligence Integrationen extrahieren.

    Sie können festlegen, dass für die Informationen MITRE-ATT&CK automatisch ein Rollup aus den Ergebnissen der Bedrohungssuche zu einem Security Incident durchgeführt wird. Aktivieren Sie für ein automatisches Rollup der Ergebnisse der Bedrohungssuche in Security Incidents die Systemeigenschaft. Alternativ können Sie die Informationen für jede einzelne Bedrohungssuche manuell zusammenfassen.

    Das Basissystem Threat Intelligence extrahiert automatisch die MITRE-ATT&CK -Informationen aus der Rohnutzlast der Drittparteiintegrationen in den Ergebnisdatensatz der Bedrohungssuche, wenn die Threat Intelligence -Integration MITRE-ATT&CK -Informationen wie die Technik oder Taktik bereitstellt.

    Wenn die Informationen MITRE-ATT&CK im Feld „Rohnutzlast“ des Bedrohungssuchdatensatzes nicht verfügbar sind, müssen Sie eine eigene Regel für die automatische Extraktion aus der Drittanbieterintegration definieren.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Extraktionsregel für Technik.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Technikextraktionsregel“.
      Feld Beschreibung
      Name Name der Regel für automatische Extraktion.
      Regeltyp Regeltyp der automatischen Extraktion. Wählen Sie Bedrohungssuche aus.
      Automatische Extraktion ignorieren Einstellung, dass standardmäßig deaktiviert ist. Diese Einstellung ermöglicht die automatische Extraktion von MITRE-ATT&CK -Techniken.
      Quell-Engine Quell-Engine
      Global Quell-Engine-Einstellung. Wenn Sie die Quell-Engine auf Globalfestlegen, wird die Extraktion für alle Ergebnisse der Integration der Bedrohungssuche ausgeführt.
      Beschreibung Beschreibung der Regel für automatische Extraktion.
      Prozessmethode Regulärer Ausdruck oder eine Skriptmethode, die Sie angeben, um die Technikinformationen aus der Rohnutzlast zu verknüpfen.
      Extraktion des regulären Ausdrucks Option, die Sie für das Zielfeld angeben, wenn Sie die Extraktionsmethode für reguläre Ausdrücke verwenden. Regulärer Ausdruck ist die Standardeinstellung.
      Skriptextraktion Prozess, den Sie beim Ausführen eines Skripts auswählen. Das Skript überprüft Folgendes:
      • ThreatLookupResultSysId:sys_id des Ergebnisdatensatzes der Bedrohungssuche
      • sourceName: Name der Bedrohungssuchquelle.
      Taktische Extraktion Option, die Sie angeben, um taktikbezogene Informationen aus der Rohnutzlast zu extrahieren. Wenn eine Nutzlast bestimmte taktik- und technikbezogene Informationen enthält, können Sie die Informationen extrahieren und an den Security Incident anhängen.
    4. Klicken Sie auf Absenden.

    Verwenden Sie SIEM-Regeln für automatische Extraktion

    Verwenden Sie die SIEM-Regeln für die automatische Extraktion, um die MITRE-ATT&CK -Informationen aus vorhandenen Security Operations SIEM-Drittpartei-Integrationen zu importieren.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_ti.admin, sn_si.admin: Zugriff erstellen, schreiben, löschen
    • sn_ti.read: Lesezugriff

    Warum und wann dieser Vorgang ausgeführt wird

    Die Technikextraktionsregel ist für alle Basissystem- Security Operations SIEM-Integrationen verfügbar, z. B. Splunk-, IBM QRadar- und ArcSight-Integrationen. Wenn Now Platform Warnungs- oder Event-Daten aus diesen SIEM-Integrationen erfasst und diese MITRE-ATT&CK Informationen enthalten, verarbeitet Now Platform die Rohnutzlast und extrahiert die Informationen MITRE-ATT&CK automatisch.

    Wenn Ihr Now Platform Basissystem-SIEM-Integrationen enthält, bedeutet dies, dass die Technikextraktionsregeln bereits im Modul MITRE-ATT&CK erstellt wurden. Sie sollten die Regeln überprüfen und nach Bedarf ändern.

    Aktivieren Sie entweder die SIEM-Regel für die automatische Extraktion oder die Warnungsregel.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Administration > Extraktionsregel für Technik.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 2. Formular „Technikextraktionsregel“.
      Feld Beschreibung
      Name Name der Regel für automatische Extraktion.
      Regeltyp Regeltyp der automatischen Extraktion. Wählen Sie SIEM aus.
      Automatische Extraktion ignorieren Einstellung, die standardmäßig deaktiviert ist. Diese Einstellung ermöglicht die automatische Extraktion von MITRE-ATT&CK -Techniken.
      Tabelle importieren Importtabelle, die automatisch für SIEM-Basissystemintegrationen zugeordnet wird. Überprüfen Sie dieses Feld für andere SIEM-Integrationen auf die Informationen MITRE-ATT&CK, und ordnen Sie sie entsprechend zu.
      Importfeld Importfeld, das für Basissystem-SIEM-Integrationen automatisch zugeordnet wird. Überprüfen Sie dieses Feld für andere SIEM-Integrationen auf die Informationen MITRE-ATT&CK, und ordnen Sie sie entsprechend zu.
      Beschreibung Regel für automatische Extraktion.
      Prozessmethode Regulärer Ausdruck oder eine Skriptmethode, die Sie angeben, um die Technikinformationen aus der Rohnutzlast zu verknüpfen.
      Extraktion des regulären Ausdrucks Option, die Sie für das Zielfeld angeben, wenn Sie die Methode des regulären Ausdrucks verwenden. Die Extraktion regulärer Ausdrücke ist die Standardverarbeitungsmethode.
      Skriptextraktion Skriptverarbeitungsmethode, die Sie verwenden, wenn Sie anpassen möchten, wie die MITRE-ATT&CK -Informationen extrahiert werden.
      Taktische Extraktion Option, die Sie angeben, um taktikbezogene Informationen aus der Rohnutzlast zu extrahieren. Wenn eine Nutzlast bestimmte taktik- und technikbezogene Informationen enthält, können Sie die Informationen extrahieren und an den Security Incident anhängen.

      In der folgenden Abbildung sehen Sie ein Beispiel für die Extraktionsregel der SIEM-Technik Splunk Enterprise in der Formularansicht. Diese Regel ähnelt allen anderen Extraktionsregeln für SIEM-Techniken.

      Extraktionsregel für Splunk-Technik.
    4. Klicken Sie auf Absenden.