Aplicación Cyber Adversary Framework Mapping

Con la aplicación Cyber Adversario Framework Mapping (incluida en la versión 2.5.3 y anteriores), puede correlacionar las reglas personalizadas con tácticas y técnicas de MITRE ATT & CK y alterar temporalmente las correlaciones de reglas predeterminadas de IBM® .

Con 2.6.0, QRadar® Use Case Manager se instala con QRadar Advisor with Watson y la versión de QRadar Use Case Manager se actualiza a 2.3.1. QRadar Use Case Manager incluye la correlación y visualización de MITRE ATT & CK. Para obtener más información, consulte QRadar Use Case Manager.
Nota: Si ya tiene instalada una versión de QRadar Use Case Manager , actualizará la aplicación o no hará nada si la versión actual es la misma o más reciente.
Importante: QRadar Use Case Manager sólo se instala después de configurar la aplicación Advisor con una señal de servicio autorizado. Creación de señales de servicio autorizado.
Atención: Si utiliza QRadar Advisor with Watson 2.5.3 o anterior, puede utilizar la aplicación Cyber Adversario Framework Mapping Application que se incluye con QRadar Advisor with Watson. No utilice Use Case Manager y Cyber Adversary Framework Mapping al mismo tiempo o se encontrará problemas de sincronización.

La aplicación QRadar Advisor with Watson correlaciona automáticamente las tácticas y técnicas de MITRE ATT&CK con las reglas de CRE. Las tácticas se identifican en el comportamiento de IBM X-Force y Detect (comportamiento de reglas de tácticas). En la aplicación QRadar Advisor with Watson , puede ver las tácticas identificadas para una investigación de delito, una búsqueda y el panel de detalles de delito.

El paquete de contenido siguiente contiene técnicas: IBM QRadar Content Extension for Sysmon . Debe instalar el paquete de contenido Sysmon para añadir las reglas de sysmon y también debe tener orígenes de registro de sysmon. Cuando la aplicación Cyber Adversary Framework Mapping descarga sus correlaciones predeterminadas de la nube, verá que esas reglas están en QRadar y las añadirá en lugar de descartarlas.

Nota: La aplicación Cyber Adversario Framework Mapping y las tácticas y técnicas de MITRE ATT & CK están disponibles en QRadar Advisor with Watson.

La infraestructura de MITRE ATT&CK representa las tácticas de adversario que se utilizan en un ataque de seguridad. Se representan las siguientes fases de un ataque:

Táctica de MITRE ATT&CK Descripción
Acceso inicial Obtiene entrada en el entorno.
Ejecución Ejecutar código malicioso.
Persistencia Mantenerse afianzado.
Escalamiento de privilegios Obtener permisos de nivel superior.
Evasión de defensa Evitar la detección.
Acceso a credenciales Robar información de inicio de sesión y contraseña.
Descubrimiento Descifrar el entorno.
Movimiento lateral Moverse por el entorno.
Colección Recopilar datos.
Exfiltración Robar datos.
Mandato y control Contactar con sistemas controlados.