Lorsqu’une Renseignements sur les menaces intégration, comme Sandbox ou TIP, prend en charge le cadre de MITRE-ATT&CK travail et si les MITRE-ATT&CK informations sont analysées à chaque niveau d’intégration, elles s’affichent dans chaque enregistrement de résultat de recherche de menace. Toutefois, toutes les Renseignements sur les menaces intégrations n’analysent pas les MITRE-ATT&CK informations. La règle d’extraction automatique globale de la recherche des menaces peut extraire MITRE-ATT&CK des informations de toutes les Renseignements sur les menaces intégrations.

Vous pouvez choisir de déployer automatiquement les MITRE-ATT&CK informations à partir des résultats de la recherche de menaces vers un incident de sécurité. Pour que le cumul automatique des résultats de recherche de menaces vers les incidents de sécurité s’applique, activez la propriété système. Vous pouvez également déployer les informations manuellement pour chaque recherche de menace.

Le système Renseignements sur les menaces de base extrait automatiquement les informations de la MITRE-ATT&CK charge utile brute des intégrations tierces vers l’enregistrement des résultats de la recherche de menaces, si l’intégration Renseignements sur les menaces vous MITRE-ATT&CK fournit des informations comme la technique ou la tactique.

Si les informations ne sont pas disponibles dans le MITRE-ATT&CK champ Charge utile brute de l’enregistrement de recherche de menace, vous devez définir votre propre règle pour l’extraction automatique à partir de l’intégration tierce.

Si votre Now Platform contient des intégrations SIEM du système de base, cela signifie que les règles d’extraction de technique sont déjà créées dans le MITRE-ATT&CK module. Vous devez examiner et modifier les règles selon vos besoins.

Activez la règle d’extraction automatique SIEM ou la règle d’alerte en même temps.