QRadar Use Case Manager & MITRE ATT@CK

von

Mit dem Rule Explorer werden sowohl Default Regeln als auch eigene Use Cases automatisch untersucht und Tipps für die Verbesserung des Regelwerks bereit gestellt. Die automatische Synchronisation stellt sicher, dass das Regelwerk stets auf dem neuesten Stand bleibt, denn sowohl MITRE ATT@CK und QRadar entwickeln sich ständig weiter. Schließlich legen sich auch die Angreifer erst dann schlafen, wenn sie ihr Ziel erreicht haben. In unserem Beispiel aus dem Framework ist das Thema Automated Collection illustriert. Ein vollständiges White Paper gibt es unter downloads Die Screenshots mit Kurzbeschreibung geben einen ersten Eindruck. Die coolste (QRadar) App des Jahres!

Im Rule Explorer suchen wir nach den aktivierten Standardregeln, die auf eine MITRE ATT@CK Kategorie passen. Dazu erweitern wir unsere Ansicht über Settings und blenden die Spalten Tactic, Tactic confidence, Technique und Technique confidence ein, siehe Bild. Durch Setzen des entsprechende Filters erhalten wir alle 213 oder nur bestimmte Regeln mit MITRE ATT@CK Mapping angezeigt. In unserem Beispiel wählen wir Collection / Automated Collection und bekommen 27 Ergebnisse.

Jetzt wählen wir die gewünschte Regel für das Fine Tuning aus. Die erste Regel aus der Gruppe Recon heißt Remote Scanner Detected. Mit Klick auf die Regel erscheint der Investigate Dialog mit spezifischen Vorschlägen zur Verbesserung der Rule, zum Beispiel Anpassen des Treshold oder des Network Building Blocks (BB). Im Rule Wizard können die vorhanden Tests entsprechend verfeinert und direkt aktiviert werden.

Zurück