Extraktionsregeln für MITRE ATT&CK-Technik

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Extrahieren Sie MITRE-Techniken automatisch aus erkennbaren Elementen oder Objekten, die aus verschiedenen Datenquellen erfasst wurden, und extrahieren Sie MITRE-Techniken auch aus den Ergebnissen der Bedrohungssuche für den Datensatz erkennbarer Elemente.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Hinweis:
    Stellen Sie sicher, dass die MITRE ATT&CK-Repository-Daten in der von Ihnen verwendeten Instanz verfügbar sind. Wenn die Daten nicht verfügbar sind, führt die Anwendung die Extraktion nicht durch.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence-Sicherheitszentrum > Administration.
    2. Gehe zu Regel-Engine > Extraktionsregeln für MITRE ATT&CK-Technik.
      Die Seite „Extraktionsregeln für MITRE ATT&CK-Technik“ wird angezeigt.
    3. Klicken Sie auf Neu.
      FeldBeschreibung
      Name Geben Sie einen Namen für die Extraktionsregel für MITRE ATT&CK-Technik ein.
      Beschreibung Geben Sie eine Beschreibung für die Extraktionsregel für MITRE ATT&CK-Technik ein.
      Integrationstyp Gibt die Extraktionsregel für MITRE ATT&CK-Technik für Datenquellen oder Ergebnisse der Bedrohungssuche an. Wählen Sie die Liste der Datenquellen aus der Suche aus.

      Nachstehend die für Datenquellen verfügbaren Optionen:

      • Datenquellen – Alle: Dies bedeutet, dass die Regel für alle Arten von Datenquellen gilt, z. B. Threat Intel Feeds, Import Intelligence-Datensätze, API-Quellen (z. B. erkennbare Elemente, die aus der API erstellt wurden), Gesendet von SIR (erkennbare Elemente, die von gesendet werden). SIR) und verschiedene Entitäten, die manuell von den Benutzern in der Threat Intelligence-Bibliothek erstellt werden.
      • Datenquellen – Threat Intel Feeds: Dies entspricht den Extraktionsregeln, die nur für Threat Intelligence-Feeds gelten.
      • Datenquellen – API-Quellen: Dies entspricht den Extraktionsregeln, die nur für API-Quellen gelten.
      • Integrationen für die Bedrohungssuche: Bei diesem Optionstyp gilt die Extraktionsregel für alle Integrationen der Bedrohungssuche wie VirusTotal.
        Hinweis:
        • Wenn Sie diese Option auswählen, müssen Sie den Lieferantennamen für die Bedrohungssuche eingeben. Die Lieferantennamen werden nur dann automatisch ausgefüllt, wenn die Integrationen für die Bedrohungssuche über den Store ServiceNow installiert werden.
        • Für die Threat Intelligence-Datenquellen werden die Extraktionsregeln nur für die Typen STIX, MISP und anwenderdefinierte Feeds unterstützt.
      Bedrohungsfeed-Typ Nachstehend die Optionen, die für den Bedrohungsfeed-Typ verfügbar sind:
      • STIX(TAXII/HTTPS): Option zum Filtern der Bedrohungs-Feeds nach dem Feed-Typ „STIX TAXII“ oder „HTTPS“ und Auswahl der zugehörigen Feeds aus der Suche.
      • MISP: Option zum Filtern der Bedrohungs-Feeds des MISP-Feed-Typs und Auswahl der zugehörigen Feeds durch Suche über das Suchsymbol.
      • Benutzerdefinierter Feed: Option zum Filtern der Bedrohungs-Feeds des anwenderdefinierten Feed-Typs und Auswählen der zugehörigen Feeds durch Suche über das Suchsymbol.
      Feeds Wählen Sie eine oder mehrere Bedrohungsfeed-Integrationen für den ausgewählten Feed-Typ aus.
      Hinweis:
      Wenn dieses Feld leer gelassen wird, werden alle Bedrohungsfeed-Integrationen für den ausgewählten Feed-Typ automatisch für die Extraktion berücksichtigt.
      Methode zum Extrahieren von MITRE ATT&CK-Taktiken und -Techniken Option zum Auswählen der Methode zum Extrahieren von MITRE ATT&CK-Taktiken und -Techniken. Die beiden verfügbaren Methoden sind:
      1. Verwenden Sie den regulären Ausdruck
      2. Skript verwenden
      Extraktionsmethode: Regulären Ausdruck verwenden Diese Methode verwendet einen regulären Ausdruck, mit dem die Bedrohungsanalysten ein Muster mit einer bestimmten Reihenfolge von Zeichen definieren können, um eine Extraktionsmethode durchzuführen.
      Regulärer Ausdruck für Taktik Option zum Bereitstellen eines regulären Ausdrucks für die Extraktion von MITRE ATT&CK-Taktik-ID(s)
      Regulärer Ausdruck der Technik Option zum Bereitstellen eines regulären Ausdrucks für die Extraktion von MITRE ATT&CK-Technik-IDs.
      Extraktionsmethode: Skript verwenden Diese Methode verwendet ein Skriptformat, um die Extraktion für die Ergebnisse der Quelle des erkennbaren Elements, der Objektquelle, der Indikatorquelle oder der Ergebnisse der Bedrohungssuche durchzuführen.
      Hinweis:
      • Diese Skriptmethode kann verwendet werden, um MITRE-Taktiken und -Techniken aus dem Entitätsquelldatensatz zu extrahieren und die Taktiken und Techniken mit dem Entitätsquelldatensatz selbst zu verknüpfen.
      • Diese Skriptmethode kann verwendet werden, um MITRE-Taktiken und -Techniken aus Ergebnissen der Bedrohungssuche zu extrahieren und die Taktiken und Techniken mit dem Entitätsdatensatz zu verknüpfen.
      Das Beispielskript wird unten zur Referenz angezeigt:
      (function process(lookupResultRawData, recordGr, ruleGr, lookupResultGr) {
/*********************************
 
* - threatLookupResult: The raw data of the threat lookup result  in stringified JSON format.
* - recordGr: The GlideRecord of the observable record.
* - ruleGr: GlideRecord of matched MITRE extraction rule
*
* Once you extracted MITRE tactic IDs and technique IDs,
* then you can use this method to link the tactics and techniques to the observable record.
  **********************************/  
var utils = new MITREExtractionUtils();
var parsedRawData =JSON.parse(lookupResultRawData);
var mitreDataField = parsedRawData.mitre_data; 
var response = utils.extractMITREDataUsingRegex(mitreDataField,'TA[0-9][0-9][0-9][0-9]','T[0-9][0-9][0-9][0-9].[0-9][0-9][0-9]|T[0-9][0-9][0-9][0-9]');
utils.addTacticTechniquesForLookup(response.tacticIds, response.techniqueIds, recordGr, ruleGr.getUniqueValue(), lookupResultGr);
 
})(lookupResultRawData, recordGr, ruleGr, lookupResultGr);
 
Here is a sample script example for the extraction rule for threat lookup integrations where the script logic is parsing the threat lookup raw payload and performing the extraction only on a specific field inside the raw payload and associates the extracted tactics/techniques to the observable record.
    4. Klicken Sie auf „Aktivieren“, um die Extraktionsregel für MITRE ATT&CK-Technik zu aktivieren, nachdem Sie eine neue Regel erstellt haben.
      Wenn Sie die Extraktionsregel für MITRE ATT&CK-Technik nicht aktivieren, wird die Regel nicht auf den Datensatz angewendet.
      Hinweis:
      1. Datenquellen: Wenn Sie die Extraktionsregel aktivieren, darf die Kombination aus Datenquellen und Integrationstyp mit keiner der vorhandenen aktivierten Extraktionsregeln übereinstimmen. Wenn dies der Fall ist, zeigt die Anwendung eine Fehlermeldung an, in der Sie aufgefordert werden, die vorhandenen Kombinationen zu ändern usw Aktivieren Sie die Regel.
      2. Bedrohungssuche: Wenn Sie die Extraktionsregel aktivieren, darf der Lieferantenname mit keiner der vorhandenen aktivierten Extraktionsregeln übereinstimmen. Wenn dies der Fall ist, zeigt die Anwendung eine Fehlermeldung an, in der Sie aufgefordert werden, den Lieferantennamen zu ändern und die Regel erneut zu aktivieren.
      3. Für die Anwender im Basissystem wird ein Beispiel für eine Extraktionsregel für die MITRE ATT&CK-Technik bereitgestellt. Diese Regeln befinden sich standardmäßig im Status „Deaktiviert“. Sie müssen die Regel aktivieren und aktivieren.
        Feld Beschreibung
        Generische Regel für die Erfassung von Datenquellen Dies ist eine generische Regel für die Erfassung aus allen Arten von Datenquellen, einschließlich Import Intelligence und manueller Erstellung.
        Generische Regel für die Bedrohungssuche Dies ist eine generische Regel für alle Integrationen der Bedrohungssuche.
    5. Klicken Sie auf Duplizieren, um eine Kopie der Extraktionsregel zu erstellen.
    6. Klicken Sie auf Deaktivieren, um die Extraktionsregel zu deaktivieren.
      Hinweis:
      Sobald sie deaktiviert ist, wird die Regel nicht mehr für die Extraktion von MITRE-Daten berücksichtigt.
    7. Klicken Sie auf Speichern.
    8. Klicken Sie auf Löschen, wenn Sie eine Extraktionsregel für MITRE ATT&CK-Technik löschen möchten.