Règles d'extraction technique MITRE ATT&CK

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Extrayez automatiquement les techniques MITRE des observables ou des objets ingérés à partir de diverses sources de données, ainsi que les techniques MITRE des résultats de la recherche de menaces sur l’enregistrement d’observable.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Remarque :
    Assurez-vous de vérifier que les données du référentiel MITRE ATT&CK sont disponibles dans l’instance que vous utilisez. Si les données ne sont pas disponibles, l’application n’effectuera pas l’extraction.

    Procédure

    1. Accédez à la Tout > Centre de sécurité des renseignements sur les menaces > Administration.
    2. Accéder à Moteur de règles > Règles d'extraction technique MITRE ATT&CK.
      La page Règles d’extraction technique MITRE ATT&CK s’affiche.
    3. Cliquez sur Nouveau.
      ChampDescription
      Nom Entrez un nom pour la règle d’extraction technique MITRE ATT&CK.
      Description Saisissez une description pour la règle d’extraction technique MITRE ATT&CK.
      Type d'intégration Indique la règle d’extraction de la technique MITRE ATT&CK pour les sources de données ou les résultats de la recherche de menaces. Sélectionnez la liste des sources de données à partir de la recherche.

      Les options disponibles pour les sources de données sont les suivantes :

      • Sources de données - Toutes : ce qui signifie que la règle s’applique à tous les types de sources de données telles que les flux Renseignements sur les menaces, les enregistrements Import Intelligence, les sources d’API (par exemple, les observables créés à partir de l’API), les éléments envoyés par SIR (observables envoyés par SIR) et diverses entités créées manuellement par les utilisateurs dans la bibliothèque Renseignements sur les menaces.
      • Sources de données : flux de Renseignements sur les menaces : correspond aux règles d’extraction qui ne s’appliquent qu’aux flux de renseignements sur les menaces.
      • Sources de données : sources API : correspond aux règles d’extraction qui ne s’appliquent qu’aux sources API.
      • Intégrations de recherche de menaces : pour ce type d’option, la règle d’extraction s’applique à toutes les intégrations de recherche de menaces telles que Virustotal.
        Remarque :
        • Lorsque vous sélectionnez cette option, vous devez saisir le nom du fournisseur pour la recherche de menace. Les noms des fournisseurs ne sont automatiquement renseignés que lorsque les intégrations de recherche de menaces sont installées à partir du ServiceNow magasin.
        • Pour les sources de données Threat Intelligence, les règles d’extraction ne sont prises en charge que pour les types STIX, MISP et Flux personnalisé.
      Type de flux de menaces Les options disponibles pour le type de flux de menaces sont les suivantes :
      • STIX(TAXII/HTTPS) : option permettant de filtrer les flux de menaces du type de flux STIX TAXII ou HTTPS et de sélectionner les flux associés dans la recherche.
      • MISP : option permettant de filtrer les flux de menaces du type de flux MISP et de sélectionner les flux associés en effectuant une recherche à l’aide de l’icône de recherche.
      • Flux personnalisé : option permettant de filtrer les flux de menaces du type de flux personnalisé et de sélectionner les flux associés en effectuant une recherche à l’aide de l’icône de recherche.
      Flux Sélectionnez une ou plusieurs intégrations de flux de menaces pour le type de flux sélectionné.
      Remarque :
      Si ce champ est laissé vide, toutes les intégrations de flux de menaces pour le type de flux sélectionné sont automatiquement prises en compte pour l’extraction.
      Méthode d'extraction des tactiques et techniques MITRE ATT&CK Option permettant de sélectionner la méthode d’extraction des tactiques et techniques MITRE ATT&CK. Les deux méthodes disponibles sont les suivantes :
      1. Utiliser Regex
      2. Utiliser un script
      Méthode d’extraction : utiliser Regex Cette méthode utilise une expression régulière qui permet aux analystes de menaces de définir un modèle avec une séquence de caractères pour effectuer la méthode d’extraction.
      Regex de la tactique Option permettant de fournir une expression régulière pour l’extraction du ou des ID de tactiques MITRE ATT&CK.
      Technique de regex Option permettant de fournir une expression régulière pour l’extraction du ou des ID de la technique MITRE ATT&CK.
      Méthode d’extraction : utiliser un script Cette méthode utilise un format de script pour effectuer l’extraction sur les résultats de recherche de la source observable, de la source de l’objet, de la source de l’indicateur ou de la menace ou de la source de menace.
      Remarque :
      • Cette méthode de script peut être utilisée pour extraire des tactiques et des techniques MITRE de l’enregistrement source de l’entité et lier les tactiques et techniques à l’enregistrement source de l’entité lui-même.
      • Cette méthode de script peut être utilisée pour extraire des tactiques et techniques MITRE des résultats de recherche de menaces et lier les tactiques et techniques à l’enregistrement d’entité.
      L’exemple de script est affiché ci-dessous à titre de référence :
      (function process(lookupResultRawData, recordGr, ruleGr, lookupResultGr) {
/*********************************
 
* - threatLookupResult: The raw data of the threat lookup result  in stringified JSON format.
* - recordGr: The GlideRecord of the observable record.
* - ruleGr: GlideRecord of matched MITRE extraction rule
*
* Once you extracted MITRE tactic IDs and technique IDs,
* then you can use this method to link the tactics and techniques to the observable record.
  **********************************/  
var utils = new MITREExtractionUtils();
var parsedRawData =JSON.parse(lookupResultRawData);
var mitreDataField = parsedRawData.mitre_data; 
var response = utils.extractMITREDataUsingRegex(mitreDataField,'TA[0-9][0-9][0-9][0-9]','T[0-9][0-9][0-9][0-9].[0-9][0-9][0-9]|T[0-9][0-9][0-9][0-9]');
utils.addTacticTechniquesForLookup(response.tacticIds, response.techniqueIds, recordGr, ruleGr.getUniqueValue(), lookupResultGr);
 
})(lookupResultRawData, recordGr, ruleGr, lookupResultGr);
 
Here is a sample script example for the extraction rule for threat lookup integrations where the script logic is parsing the threat lookup raw payload and performing the extraction only on a specific field inside the raw payload and associates the extracted tactics/techniques to the observable record.
    4. Cliquez sur Activer pour activer la règle d’extraction technique MITRE ATT&CK après avoir créé une règle.
      Si vous n’activez pas la règle d’extraction technique MITRE ATT&CK, la règle ne sera pas appliquée à l’enregistrement.
      Remarque :
      1. Sources de données : chaque fois que vous activez la règle d’extraction, la combinaison de sources de données et le type d’intégration ne doivent correspondre à aucune des règles d’extraction activées existantes. Si tel est le cas, l’application affiche un message d’erreur vous permettant de modifier les combinaisons existantes et de réactiver la règle.
      2. Recherche de menaces : chaque fois que vous activez la règle d’extraction, le nom du fournisseur ne doit correspondre à aucune des règles d’extraction activées existantes. Si tel est le cas, l’application affiche un message d’erreur vous permettant de modifier le nom du fournisseur et de réactiver la règle.
      3. Un exemple de règles d’extraction technique MITRE ATT&CK est mis en service pour les utilisateurs dans le système de base et ces règles seront désactivées par défaut et vous devez activer et activer la règle.
        Champ Description
        Règle générique pour l’ingestion de sources de données Il s’agit d’une règle générique pour l’ingestion à partir de tous les types de sources de données, y compris l’intelligence d’importation et la création manuelle.
        Règle générique pour la recherche de menace Il s’agit d’une règle générique pour toute intégration de recherche de menace.
    5. Cliquez sur Dupliquer pour créer une copie de la règle d’extraction.
    6. Cliquez sur Désactiver pour désactiver la règle d’extraction.
      Remarque :
      Une fois désactivée, la règle ne sera plus prise en compte pour l’extraction de données MITRE.
    7. Cliquez sur Enregistrer.
    8. Cliquez sur Supprimer si vous souhaitez supprimer toute règle d’extraction technique MITRE ATT&CK.