通过在 QRadar® 实例之间共享规则映射文件,将规则和构建块映射到策略和方法时可节省时间和精力。
关于此任务
导出功能仅将 MTRE 映射直接提供给规则,而不是它们的依赖关系。 如果在 Use Case Explorer 页面上使用缺省 MITRE 相关模板,那么您可以查看规则及其依赖关系的直接映射。 您还可以定制模板以仅在必要时查看直接映射。 有关更多信息,请参阅 定制报告内容模板。
使用导出选项以在您的环境中创建映射的备份。 您还可以使用导出和导入选项以将规则从一个部署移至另一个部署,而不是手动复制规则。
过程
- 要导出 MTRE 映射,请使用以下步骤:
- 在 用例资源管理器 页面上,单击 。
- 选择要导出的 MITRE 映射: 全部 或 将映射导出到当前视图中的规则或构建块。
- 选择下列其中一个导出格式:
- 导出到可以在 QRadar Use Case
Manager中导入的 JSON 文件。 使用此选项可创建映射的备份,或将映射及其相应规则移至另一个 QRadar 部署。
- 将有关 MITRE 覆盖范围的信息导出到 JSON 文件,该文件可以作为一层导入到 MITRE ATT&CK Navigator。 导入的 JSON 文件显示的颜色与您在 QRadar Use Case
Manager中看到的热图相同,表示覆盖范围。
- 单击 导出。
- 要从 MITRE ATT&CK Mapping 页面导出映射,请参阅 在多个规则或构建块中编辑 MITRE 映射中的步骤 5。
- 要导入规则映射文件,请使用以下步骤:
- 在 用例资源管理器 页面上,单击 。
- 单击导入图标,浏览到系统上的文件位置并选择文件,然后单击 导入。