Regras de extração de técnica do MITRE ATT&CK

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Extraia técnicas de MITRE automaticamente de observáveis ou objetos ingeridos de várias fontes de dados e também extraia técnicas de MITRE dos resultados de pesquisa de ameaças no registro de observável.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Nota:
    Certifique-se de verificar se os dados do repositório do MITRE ATT&CK estão disponíveis na instância que você está usando. Se os dados não estiverem disponíveis, a aplicação não executará a extração.

    Procedimento

    1. Navegar até Tudo > Central de segurança de inteligência contra ameaças > Administração.
    2. Ir para Mecanismo de regras > Regras de extração de técnica do MITRE ATT&CK.
      A página Regras de extração de técnica do MITRE ATT&CK é exibida.
    3. Clique em Nova.
      CampoDescrição
      Nome Insira um nome para a regra de extração de técnica do MITRE ATT&CK.
      Descrição Insira uma descrição para a regra de extração de técnica do MITRE ATT&CK.
      Tipo de Integração Indica a regra de extração de técnica do MITRE ATT&CK para as fontes de dados ou resultados da pesquisa de ameaças. Selecione a lista de fontes de dados na pesquisa.

      A seguir estão as opções disponíveis para Fontes de dados:

      • Fontes de dados - Todos: o que significa que a regra é aplicável a todos os tipos de fontes de dados, como feeds de informações sobre ameaças, registros de importação de inteligência, origens de API (por exemplo, observáveis criados a partir da API), enviados de SIR (observáveis que são enviados de SIR) e várias entidades criadas manualmente pelos usuários na biblioteca de Inteligência contra ameaças.
      • Fontes de dados - Feeds de informações sobre ameaças: corresponde às regras de extração que são aplicáveis somente a feeds de inteligência contra ameaças.
      • Fontes de dados - Origens de API: corresponde às regras de extração que são aplicáveis somente a origens de API.
      • Integrações de pesquisa de ameaças: para este tipo de opção, a regra de extração é aplicável a todas as integrações de pesquisa de ameaças, como VirusTotal.
        Nota:
        • Ao selecionar esta opção, você deve inserir o nome do fornecedor para a pesquisa de ameaças. Os nomes dos fornecedores são preenchidos automaticamente somente quando as integrações de pesquisa de ameaças são instaladas da loja ServiceNow.
        • Para as fontes de dados de inteligência contra ameaças, as regras de extração são compatíveis somente com os tipos STIX, MISP e feed personalizado.
      Tipo de feed de ameaça A seguir estão as opções disponíveis para o tipo de feed de ameaças:
      • STIX(TAXII/HTTPS): opção para filtrar os feeds de ameaças do tipo STIX TAXII ou HTTPS e selecionar os feeds associados na pesquisa.
      • MISP: opção para filtrar os feeds de ameaças do tipo de feed MISP e selecionar os feeds associados pesquisando usando o ícone de pesquisa.
      • Feed personalizado: opção para filtrar os feeds de ameaças do tipo de feed personalizado e selecionar os feeds associados pesquisando usando o ícone de pesquisa.
      Feeds Selecione uma ou mais integrações de feed de ameaças para o tipo de feed selecionado.
      Nota:
      Se este campo for deixado em branco, todas as integrações de feed de ameaça para o tipo de feed selecionado serão consideradas automaticamente para a extração.
      Método para extrair táticas e técnicas do MITRE ATT&CK Opção para selecionar o método de extração de táticas e técnicas do MITRE ATT&CK. Os dois métodos disponíveis são:
      1. Usar Regex
      2. Usar script
      Método de extração - Usar Regex Este método usa uma expressão regular que permite que os analistas de ameaças definam um padrão com uma sequência de caracteres para executar o método de extração.
      Regex de tática Opção para fornecer expressão regular para a extração de IDs de tática do MITRE ATT&CK.
      Regex de técnica Opção para fornecer expressão regular para a extração de ID(s) de técnica do MITRE ATT&CK.
      Método de extração - Usar script Este método usa um formato de script para executar a extração na origem do observável, na origem do objeto, na origem do indicador ou nos resultados da pesquisa de ameaças.
      Nota:
      • Este método de script pode ser usado para extrair táticas e técnicas do MITRE do registro de origem da entidade e vincular as táticas e técnicas ao próprio registro de origem da entidade.
      • Este método de script pode ser usado para extrair táticas e técnicas do MITRE dos resultados da pesquisa de ameaças e vincular as táticas e técnicas ao registro da entidade.
      O script de exemplo é mostrado abaixo para sua referência:
      (function process(lookupResultRawData, recordGr, ruleGr, lookupResultGr) {
/*********************************
 
* - threatLookupResult: The raw data of the threat lookup result  in stringified JSON format.
* - recordGr: The GlideRecord of the observable record.
* - ruleGr: GlideRecord of matched MITRE extraction rule
*
* Once you extracted MITRE tactic IDs and technique IDs,
* then you can use this method to link the tactics and techniques to the observable record.
  **********************************/  
var utils = new MITREExtractionUtils();
var parsedRawData =JSON.parse(lookupResultRawData);
var mitreDataField = parsedRawData.mitre_data; 
var response = utils.extractMITREDataUsingRegex(mitreDataField,'TA[0-9][0-9][0-9][0-9]','T[0-9][0-9][0-9][0-9].[0-9][0-9][0-9]|T[0-9][0-9][0-9][0-9]');
utils.addTacticTechniquesForLookup(response.tacticIds, response.techniqueIds, recordGr, ruleGr.getUniqueValue(), lookupResultGr);
 
})(lookupResultRawData, recordGr, ruleGr, lookupResultGr);
 
Here is a sample script example for the extraction rule for threat lookup integrations where the script logic is parsing the threat lookup raw payload and performing the extraction only on a specific field inside the raw payload and associates the extracted tactics/techniques to the observable record.
    4. Clique em Habilitar para habilitar a regra de extração de técnica do MITRE ATT&CK depois de criar uma nova regra.
      Se você não habilitar a regra de extração de técnica do MITRE ATT&CK, a regra não será aplicada ao registro.
      Nota:
      1. Fontes de dados: sempre que você habilitar a regra de extração, a combinação de fontes de dados e tipo de integração não deve corresponder a nenhuma das regras de extração habilitadas existentes e, em caso afirmativo, a aplicação exibirá uma mensagem de erro para você modificar as combinações existentes e habilite a regra.
      2. Pesquisa de ameaças: sempre que você habilitar a regra de extração, o nome do fornecedor não deve corresponder a nenhuma das regras de extração habilitadas existentes e, em caso afirmativo, a aplicação exibirá uma mensagem de erro para que você modifique o nome do fornecedor e habilite novamente a regra.
      3. Uma amostra de regras de extração de técnica do MITRE ATT&CK é provisionada para os usuários no sistema de base e essas regras estarão no estado desabilitado por padrão e você deve habilitar e ativar a regra.
        Campo Descrição
        Regra genérica para ingestão de fontes de dados Esta é uma regra genérica para ingestão de todos os tipos de fontes de dados, incluindo Inteligência de importação e criação manual.
        Regra genérica para pesquisa de ameaças Esta é uma regra genérica para qualquer integração de pesquisa de ameaças.
    5. Clique em Duplicar para criar uma cópia da regra de extração.
    6. Clique em Desabilitar para desabilitar a regra de extração.
      Nota:
      Depois de desabilitada, a regra não será mais considerada para a extração de dados do MITRE.
    7. Clique em Salvar.
    8. Clique em Excluir se quiser excluir qualquer regra de extração de técnica do MITRE ATT&CK.