MITRE ATT&CK 기술 추출 규칙
다양한 데이터 소스에서 수집된 옵저버블 또는 객체에서 MITRE 기술을 자동으로 추출하고 옵저버블 기록의 위협 조회 결과에서 MITRE 기술도 추출합니다.
시작하기 전에
필요한 역할: sn_sec_tisc.admin
주:
사용 중인 인스턴스에서 MITRE ATT&CK 리포지토리 데이터를 사용할 수 있는지 확인하십시오. 데이터를 사용할 수 없는 경우 애플리케이션은 추출을 수행하지 않습니다.
프로시저
- 다음으로 이동 모두 > 위협 인텔리전스 보안 센터 > 관리.
-
이동 규칙 엔진 > MITRE ATT&CK 기술 추출 규칙.
MITRE ATT&CK 기술 추출 규칙 페이지가 표시됩니다.
-
새로 만들기를 클릭합니다.
필드 설명 이름 MITRE ATT&CK 기술 추출 규칙의 이름을 입력합니다. 설명 MITRE ATT&CK 기술 추출 규칙에 대한 설명을 입력합니다. 통합 유형 데이터 소스 또는 위협 조회 결과에 대한 MITRE ATT&CK 기술 추출 규칙을 나타냅니다. 조회에서 데이터 소스 목록을 선택합니다. 다음은 데이터 소스에 사용할 수 있는 옵션입니다.
- 데이터 소스 - 모두: 즉, 위협 인텔리전스 피드, 인텔리전스 기록 임포트, API 소스(예: API에서 생성된 옵저버블), SIR에서 전송(SIR에서 보낸 옵저버블) 및 위협 인텔리전스 라이브러리에서 사용자가 수동으로 생성한 다양한 엔터티와 같은 모든 유형의 데이터 소스에 규칙을 적용할 수 있습니다.
- 데이터 소스 - 위협 인텔리전스 피드: 위협 인텔리전스 피드에만 적용되는 추출 규칙에 해당합니다.
- 데이터 소스 - API 소스: API 소스에만 적용되는 추출 규칙에 해당합니다.
- 위협 조회 통합: 이 유형의 옵션의 경우 추출 규칙은 Virustotal과 같은 모든 위협 조회 통합에 적용할 수 있습니다. 주:
- 이 옵션을 선택하는 경우 위협 조회를 위한 벤더 이름을 입력해야 합니다. 벤더 이름은 위협 조회 통합이 스토어에서 설치 ServiceNow 되는 경우에만 자동으로 채워집니다.
- 위협 인텔리전스 데이터 소스의 경우 추출 규칙은 STIX, MISP 및 사용자 지정 피드 유형에 대해서만 지원됩니다.
위협 피드 유형 위협 피드 유형에 사용할 수 있는 옵션은 다음과 같습니다. - STIX(TAXII/HTTPS):STIX TAXII 또는 HTTPS 피드 유형의 위협 피드를 필터링하고 조회에서 연결된 피드를 선택하는 옵션입니다.
- MISP: MISP 피드 유형의 위협 피드를 필터링하고 조회 아이콘을 사용해 검색하여 연결된 피드를 선택하는 옵션입니다.
- 사용자 지정 피드: 사용자 지정 피드 유형의 위협 피드를 필터링하고 조회 아이콘을 사용하여 검색하여 연결된 피드를 선택하는 옵션입니다.
피드 선택한 피드 유형에 대해 위협 피드 통합을 하나 이상 선택합니다. 주:이 필드를 비워 두면 선택한 피드 유형에 대한 모든 위협 피드 통합이 자동으로 추출에 고려됩니다.MITRE ATT&CK 전술 및 기술 추출 방법 MITRE ATT&CK 전술 및 기술 추출 방법을 선택하는 옵션입니다. 사용 가능한 두 가지 방법은 다음과 같습니다. - 정규 표현식 사용
- 스크립트 사용
추출 방법 - 정규 표현식 사용 이 방법은 위협 분석가가 추출 방법을 수행하기 위해 일련의 문자로 패턴을 정의할 수 있는 정규식을 사용합니다. 방법 정규 표현식 MITRE ATT&CK 전술 ID 추출을 위한 정규 표현식을 제공하는 옵션입니다. 기술 정규 표현식 MITRE ATT&CK 기술 ID 추출을 위한 정규 표현식을 제공하는 옵션입니다. 추출 방법 - 스크립트 사용 이 방법은 스크립트 형식을 사용하여 옵저버블 소스 또는 객체 소스 또는 표시기 소스 또는 위협 조회 결과에 대한 추출을 수행합니다. 주:- 이 스크립트 방법은 엔터티 소스 기록에서 MITRE 전술 및 기술을 추출하고 전술 및 기술을 엔터티 소스 기록 자체에 연결하는 데 사용할 수 있습니다.
- 이 스크립트 방법은 위협 조회 결과에서 MITRE 전술 및 기술을 추출하고 전술 및 기술을 엔터티 기록에 연결하는 데 사용할 수 있습니다.
다음은 참조할 수 있도록 샘플 스크립트를 보여줍니다.(function process(lookupResultRawData, recordGr, ruleGr, lookupResultGr) { /********************************* * - threatLookupResult: The raw data of the threat lookup result in stringified JSON format. * - recordGr: The GlideRecord of the observable record. * - ruleGr: GlideRecord of matched MITRE extraction rule * * Once you extracted MITRE tactic IDs and technique IDs, * then you can use this method to link the tactics and techniques to the observable record. **********************************/ var utils = new MITREExtractionUtils(); var parsedRawData =JSON.parse(lookupResultRawData); var mitreDataField = parsedRawData.mitre_data; var response = utils.extractMITREDataUsingRegex(mitreDataField,'TA[0-9][0-9][0-9][0-9]','T[0-9][0-9][0-9][0-9].[0-9][0-9][0-9]|T[0-9][0-9][0-9][0-9]'); utils.addTacticTechniquesForLookup(response.tacticIds, response.techniqueIds, recordGr, ruleGr.getUniqueValue(), lookupResultGr); })(lookupResultRawData, recordGr, ruleGr, lookupResultGr); Here is a sample script example for the extraction rule for threat lookup integrations where the script logic is parsing the threat lookup raw payload and performing the extraction only on a specific field inside the raw payload and associates the extracted tactics/techniques to the observable record. -
새 규칙을 생성한 후 활성화 를 클릭하여 MITRE ATT&CK 기술 추출 규칙을 활성화합니다.
MITRE ATT&CK 기술 추출 규칙을 사용하도록 설정하지 않으면 규칙이 기록에 적용되지 않습니다.주:
- 데이터 소스: 추출 규칙을 활성화할 때마다 데이터 소스와 통합 유형의 조합은 기존에 활성화된 추출 규칙과 일치하지 않아야 하며, 일치하지 않을 경우 애플리케이션에 기존 조합을 수정하고 규칙을 다시 활성화하라는 오류 메시지가 표시됩니다.
- 위협 조회: 추출 규칙을 활성화할 때마다 벤더 이름은 기존에 활성화된 추출 규칙과 일치하지 않아야 하며, 일치하지 않는 경우 애플리케이션은 벤더 이름을 수정하고 규칙을 다시 활성화하라는 오류 메시지를 표시합니다.
- 샘플 MITRE ATT&CK 기술 추출 규칙은 기본 시스템의 사용자에 대해 프로비저닝되며, 이러한 규칙은 기본적으로 비활성화된 상태이므로 규칙을 활성화하고 활성화해야 합니다.
필드 설명 데이터 소스 수집에 대한 일반 규칙 인텔리전스 임포트 및 수동 생성을 포함한 모든 유형의 데이터 소스에서 수집하기 위한 일반 규칙입니다. 위협 조회를 위한 일반 규칙 이는 모든 위협 조회 통합에 대한 일반 규칙입니다.
- 복제를 클릭하여 추출 규칙의 복사본을 만듭니다.
-
추출 규칙을 사용하지 않으려면 사용 안 함을 클릭하십시오.
주:비활성화되면 MITRE 데이터 추출에 더 이상 규칙이 고려되지 않습니다.
- 저장을 클릭합니다.
- MITRE ATT&CK 기술 추출 규칙을 삭제하려면 삭제를 클릭합니다.