Cyber Adversary Framework Mapping Application

Cyber Adversary Framework Mapping Application (バージョン 2.5.3 以前に含まれています) を使用すると、カスタム・ルールを MITRE ATT & CK 戦術および技法にマップし、 IBM® のデフォルト・ルール・マッピングをオーバーライドすることができます。

2.6.0では、 QRadar® Use Case ManagerQRadar Advisor with Watson と共にインストールされ、 QRadar Use Case Manager のバージョンは 2.3.1に更新されます。 QRadar Use Case Manager には、MITRE ATT & CK のマッピングと視覚化が含まれています。 詳しくは、 QRadar Use Case Managerを参照してください。
注: QRadar Use Case Manager のバージョンが既にインストールされている場合は、アプリケーションがアップグレードされるか、現行バージョンが同じかそれより新しい場合は何も実行されません。
重要: QRadar Use Case Manager は、許可サービス・トークンを使用して Advisor アプリケーションを構成した後にのみインストールされます。 許可サービス・トークンの作成
重要: QRadar Advisor with Watson 2.5.3 以前を使用している場合は、 QRadar Advisor with Watsonに組み込まれている Cyber Adversary Framework Mapping Application アプリケーションを使用できます。 Use Case Manager と Cyber Adversary Framework Mapping Application を同時に使用すると、同期が取れなくなる問題が発生するため、これらを同時に使用しないでください。

QRadar Advisor with Watson アプリケーションでは、MITRE ATT &CK 戦術と技法が自動的に CRE ルールにマップされます。 これらの戦術は、IBM X-Force および Detect の動作 (戦術ルールの動作) から特定されます。 QRadar Advisor with Watson アプリケーションでは、オフェンス調査、検索、およびオフェンスの詳細ペインで識別された戦術を確認できます。

次のコンテンツ・パックには、 IBM QRadar Content Extension for Sysmon という技法が含まれています。 sysmon ルールを追加するには、Sysmon コンテンツ・パックをインストールする必要があります。sysmon ログ・ソースがあることも必要です。 Cyber Adversary Framework Mapping Application がそのデフォルトのマッピングをクラウドからダウンロードすると、それらのルールが QRadar に表示され、破棄されずに追加されます。

注: Cyber Adversary Framework Mapping Application および MITRE ATT & CK の戦術と技法は、 QRadar Advisor with Watsonで入手可能です。

MITRE ATT&CK フレームワークは、セキュリティー攻撃で使用される攻撃者の戦術を表します。 次の攻撃フェーズを表します。

MITRE ATT&CK 戦術 説明
初期アクセス ユーザーの環境への侵入口を見つけます。
実行 悪意のあるコードを実行します。
永続性 足掛かりを維持します。
特権のエスカレーション より高いレベルの許可を取得します。
防御の回避 検出を回避します。
資格情報アクセス ログイン情報とパスワード情報を盗みます。
ディスカバリー ユーザーの環境を把握します。
側方移動 ユーザーの環境内を移動します。
コレクション データを収集します。
引き出し データを盗みます。
コマンドと制御 コントロールされたシステムに接触します。