Cyber Adversary Framework Mapping Application
Cyber Adversary Framework Mapping Application (バージョン 2.5.3 以前に含まれています) を使用すると、カスタム・ルールを MITRE ATT & CK 戦術および技法にマップし、 IBM® のデフォルト・ルール・マッピングをオーバーライドすることができます。
2.6.0では、 QRadar® Use
Case Manager は QRadar Advisor with Watson と共にインストールされ、 QRadar Use
Case Manager のバージョンは 2.3.1に更新されます。 QRadar Use
Case Manager には、MITRE ATT & CK のマッピングと視覚化が含まれています。 詳しくは、 QRadar Use Case Managerを参照してください。
注: QRadar Use
Case Manager のバージョンが既にインストールされている場合は、アプリケーションがアップグレードされるか、現行バージョンが同じかそれより新しい場合は何も実行されません。
重要: QRadar Advisor with Watson 2.5.3 以前を使用している場合は、 QRadar Advisor with Watsonに組み込まれている Cyber Adversary Framework Mapping Application アプリケーションを使用できます。 Use Case Manager と Cyber Adversary Framework Mapping Application を同時に使用すると、同期が取れなくなる問題が発生するため、これらを同時に使用しないでください。
QRadar Advisor with Watson アプリケーションでは、MITRE ATT &CK 戦術と技法が自動的に CRE ルールにマップされます。 これらの戦術は、IBM X-Force および Detect の動作 (戦術ルールの動作) から特定されます。 QRadar Advisor with Watson アプリケーションでは、オフェンス調査、検索、およびオフェンスの詳細ペインで識別された戦術を確認できます。
次のコンテンツ・パックには、 IBM QRadar Content Extension for Sysmon という技法が含まれています。 sysmon ルールを追加するには、Sysmon コンテンツ・パックをインストールする必要があります。sysmon ログ・ソースがあることも必要です。 Cyber Adversary Framework Mapping Application がそのデフォルトのマッピングをクラウドからダウンロードすると、それらのルールが QRadar に表示され、破棄されずに追加されます。
注: Cyber Adversary Framework Mapping Application および MITRE ATT & CK の戦術と技法は、 QRadar Advisor with Watsonで入手可能です。
MITRE ATT&CK フレームワークは、セキュリティー攻撃で使用される攻撃者の戦術を表します。 次の攻撃フェーズを表します。
| MITRE ATT&CK 戦術 | 説明 |
|---|---|
| 初期アクセス | ユーザーの環境への侵入口を見つけます。 |
| 実行 | 悪意のあるコードを実行します。 |
| 永続性 | 足掛かりを維持します。 |
| 特権のエスカレーション | より高いレベルの許可を取得します。 |
| 防御の回避 | 検出を回避します。 |
| 資格情報アクセス | ログイン情報とパスワード情報を盗みます。 |
| ディスカバリー | ユーザーの環境を把握します。 |
| 側方移動 | ユーザーの環境内を移動します。 |
| コレクション | データを収集します。 |
| 引き出し | データを盗みます。 |
| コマンドと制御 | コントロールされたシステムに接触します。 |