Informações de acúmulo MITRE-ATT&CK das regras de detecção

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Habilite o acúmulo de informações de MITRE-ATT&CK das regras de detecção para os incidentes de segurança para obter uma melhor análise de ameaças e incidentes de segurança.

    Antes de Iniciar

    Função necessária: nenhuma

    Certifique-se de ter realizado o seguinte:
    • Habilite a propriedade Acumular informações do MITRE ATT e ACK automaticamente das regras de alerta para os incidentes de segurança no módulo Propriedades. Por padrão, esta opção está desabilitada. Para obter mais informações, consulte Revisar as propriedades do sistema MITRE-ATT&CK.
    • Execute o mapeamento de regras de detecção para MITRE-ATT&CK TTPs no módulo Regras de detecção - MITRE ATT&CK Mapeamento de TTP. O nome da regra de detecção deve corresponder ao nome da regra de alerta que aciona o incidente de segurança. Para obter mais informações, consulte Criar e mapear regras de detecção.

    Por Que e Quando Desempenhar Esta Tarefa

    Se você não pretende usar as regras de extração automática do SIEM do sistema de base, habilite o acúmulo automático de MITRE-ATT&CK TTPs com base no mapeamento da regra de detecção. Você pode preencher o alerta ou a regra de evento que aciona o incidente de segurança no campo Nome da regra de alerta. Você também pode preencher o campo Nome da regra de alerta usando a integração SIEM, a análise de e-mail, a criação manual e assim por diante.

    Procedimento

    1. Navegar até Administração do MITRE ATT&CK > Propriedades.
    2. Habilite a propriedade Acumular informações do MITRE ATT&ACK automaticamente das regras de alerta para os incidentes de segurança e clique em Salvar.
      Por padrão, esta opção está desabilitada.
    3. Você precisa preencher o campo Nome da regra de alerta do incidente de segurança com as regras de alerta necessárias.
      Nota:
      Certifique-se de adicionar o nome exato da Regra de alerta. Para adicionar várias regras, você precisa adicionar as regras usando um separador de vírgula.
    4. Clique com o botão direito do mouse no formulário e clique em Salvar.
      Se o valor do nome da regra de alerta no incidente de segurança corresponder a um registro no módulo Regra de detecção - Mapeamento de TTP do MITRE ATT e CK, as técnicas e táticas correspondentes associadas à regra de alerta serão vinculadas ao incidente de segurança automaticamente.

      Esta ilustração mostra como acumular informações do MITRE das regras de detecção para um incidente de segurança.

    5. Abra o incidente de segurança, selecione o cartão MITRE ATT&CK e valide se as técnicas foram acumuladas.
    6. Habilite a opção Mostrar origem das técnicas para exibir a origem das técnicas.
      A origem das técnicas deve ser Regra de detecção.