MITRE ATT&CK テクニック抽出ルール

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:7分

    • さまざまなデータソースから取り込まれた観測事象またはオブジェクトから MITRE テクニックを自動的に抽出し、観測事象レコードの脅威のルックアップ結果から MITRE テクニックを抽出します。

    始める前に

    必要なロール:sn_sec_tisc.admin

    注:
    使用しているインスタンスで MITRE ATT&CK リポジトリデータが利用可能であることを確認してください。データが利用できない場合、アプリケーションは抽出を実行しません。

    手順

    1. 次のように移動する。 All (すべて) > 脅威インテリジェンスセキュリティセンター > アドミニストレーション.
    2. 検索項目 ルールエンジン > MITRE ATT&CK テクニック抽出ルール.
      [MITRE ATT&CK テクニック抽出ルール] ページが表示されます。
    3. [New] をクリックします。
      フィールド説明
      名前 MITRE ATT&CK テクニック抽出ルールの名前を入力します。
      説明 MITRE ATT&CK テクニック抽出ルールの説明を入力します。
      統合タイプ データソースまたは脅威のルックアップ結果の MITRE ATT&CK テクニック抽出ルールを示します。ルックアップからデータソースのリストを選択します。

      データソースで使用できるオプションは次のとおりです。

      • データソース - すべて:これは、脅威インテリジェンスフィード、インポートインテリジェンスレコード、API ソース (API から作成された観測事象など)、SIR から送信 (SIR から送信された観測事象)、脅威インテリジェンスライブラリ内のユーザーが手動で作成するさまざまなエンティティなど、すべてのタイプのデータソースにルールが適用されることを意味します。
      • データソース - 脅威インテリジェンスフィード:脅威インテリジェンスフィードにのみ適用される抽出ルールに対応します。
      • データソース - API ソース:これは、API ソースにのみ適用される抽出ルールに対応します。
      • 脅威のルックアップの統合:このタイプのオプションでは、抽出ルールは Virustotal などのすべての脅威のルックアップの統合に適用されます。
        注:
        • このオプションを選択する場合は、脅威のルックアップのベンダー名を入力する必要があります。ベンダー名は、脅威のルックアップの統合が ServiceNow ストアからインストールされた場合にのみ自動的に入力されます。
        • 脅威インテリジェンスデータソースの場合、抽出ルールは STIX、MISP、およびカスタムフィードタイプでのみサポートされています。
      脅威フィードタイプ 脅威フィードタイプで使用できるオプションは次のとおりです。
      • STIX (TAXII/HTTPS):STIX TAXII または HTTPS フィードタイプの脅威フィードをフィルタリングし、関連付けられたフィードをルックアップから選択するオプション。
      • MISP:MISP フィードタイプの脅威フィードをフィルタリングし、ルックアップアイコンを使用して検索することで関連するフィードを選択するオプション。
      • カスタムフィード:カスタムフィードタイプの脅威フィードをフィルタリングし、ルックアップアイコンを使用して検索して関連するフィードを選択するオプション。
      フィードグループ 選択したフィードタイプの脅威フィード統合を 1 つ以上選択します。
      注:
      このフィールドを空白のままにすると、選択したフィードタイプのすべての脅威フィード統合が抽出対象として自動的に考慮されます。
      MITRE ATT&CK の戦術とテクニックを抽出する方法 EXTRACT MITRE ATT&CK tactics and techniques method(MITRE ATT&CK 戦術とテクニックの抽出方法)を選択するオプション。利用可能な 2 つの方法は次のとおりです。
      1. 正規表現を使用
      2. スクリプトを使用
      抽出方法:正規表現を使用 この方法では正規表現を使用して、脅威アナリストが一連の文字を含むパターンを定義して抽出メソッドを実行できます。
      戦術的な正規表現 MITRE ATT&CK 戦術 ID の抽出に正規表現を提供するオプション。
      テクニック正規表現 MITRE ATT&CK テクニック ID の抽出に正規表現を提供するオプション。
      抽出方法 - スクリプトを使用 この方法では、スクリプト形式を使用して、観測事象ソース、オブジェクトソース、インジケーターソース、または脅威のルックアップの結果について抽出を実行します。
      注:
      • このスクリプトメソッドを使用して、エンティティソースレコードから MITRE 戦術とテクニックを抽出し、戦術とテクニックをエンティティソースレコード自体にリンクできます。
      • このスクリプトメソッドを使用して、脅威のルックアップ結果から MITRE の戦術とテクニックを抽出し、その戦術とテクニックをエンティティレコードにリンクすることができます。
      参考のためにサンプルスクリプトを以下に示します。
      (function process(lookupResultRawData, recordGr, ruleGr, lookupResultGr) {
/*********************************
 
* - threatLookupResult: The raw data of the threat lookup result  in stringified JSON format.
* - recordGr: The GlideRecord of the observable record.
* - ruleGr: GlideRecord of matched MITRE extraction rule
*
* Once you extracted MITRE tactic IDs and technique IDs,
* then you can use this method to link the tactics and techniques to the observable record.
  **********************************/  
var utils = new MITREExtractionUtils();
var parsedRawData =JSON.parse(lookupResultRawData);
var mitreDataField = parsedRawData.mitre_data; 
var response = utils.extractMITREDataUsingRegex(mitreDataField,'TA[0-9][0-9][0-9][0-9]','T[0-9][0-9][0-9][0-9].[0-9][0-9][0-9]|T[0-9][0-9][0-9][0-9]');
utils.addTacticTechniquesForLookup(response.tacticIds, response.techniqueIds, recordGr, ruleGr.getUniqueValue(), lookupResultGr);
 
})(lookupResultRawData, recordGr, ruleGr, lookupResultGr);
 
Here is a sample script example for the extraction rule for threat lookup integrations where the script logic is parsing the threat lookup raw payload and performing the extraction only on a specific field inside the raw payload and associates the extracted tactics/techniques to the observable record.
    4. 新しいルールを作成した後、[ 有効化 ] をクリックして MITRE ATT&CK テクニック抽出ルールを有効にします。
      MITRE ATT&CK テクニック抽出ルールを有効にしないと、ルールはレコードに適用されません。
      注:
      1. データソース:抽出ルールを有効にするたびに、データソースと統合タイプの組み合わせが既存の有効な抽出ルールのいずれにも一致しない必要があり、一致する場合は、既存の組み合わせを変更してルールを再度有効にするように求めるエラーメッセージが表示されます。
      2. 脅威のルックアップ:抽出ルールを有効にするたびに、ベンダー名が既存の有効な抽出ルールのいずれとも一致していてはなりません。一致する場合は、ベンダー名を変更してルールを再度有効にするように求めるエラー メッセージがアプリケーションに表示されます。
      3. ベースシステムのユーザーに対してサンプルの MITRE ATT&CK テクニック抽出ルールがプロビジョニングされます。これらのルールはデフォルトで無効ステータスになるため、ルールを有効にしてアクティブ化する必要があります。
        フィールド 説明
        データソース取り込みの汎用ルール これは、インポートインテリジェンスと手動作成を含むすべてのタイプのデータソースからの取り込みに関する汎用ルールです。
        脅威情報ルックアップの汎用ルール これは、脅威のルックアップの統合の汎用ルールです。
    5. [複製] をクリックして、抽出ルールのコピーを作成します。
    6. [無効化] をクリックして、抽出ルールを無効にします。
      注:
      無効にすると、このルールは MITRE データの抽出で考慮されなくなります。
    7. [Save (保存)] をクリックします。
    8. MITRE ATT&CK テクニック抽出ルールを削除する場合は、[ 削除 ] をクリックします。