-
- Vai su Dashboard > Generatore di regole. Se presenti, vengono elencate le regole esistenti.
- Clicchi Crea regola.
- Nella sezione Nome regola, immettere un nome per la regola.
- Selezionare la gravità dell'avviso che verrebbe generato da questa regola, che sia Alta, Media Bassa o Informative.
- Inserire il description per la regola nella casella di testo designata.
- Seleziona Tattiche dall'elenco. Le tattiche selezionate appaiono nella casella. Le tattiche rappresentano il "perché" di una tecnica o sotto-tecnica ATT&CK. È l'obiettivo tattico dell'avversario: la ragione per cui si esegue un'azione. Esempio: TA0001, Accesso iniziale significa che l'avversario sta cercando di entrare nella tua rete.
- Seleziona Tecniche delle tattiche dall'elenco. Le tecniche selezionate appaiono nella casella. Quando l'avviso viene generato a causa delle tattiche, nella pagina Avviso, nei dettagli, puoi visualizzare l'elenco delle tattiche con il collegamento che naviga verso https://attack.mitre.org/tactics/ per maggiori informazioni.
- Nella sezione Crea regola di rilevamento, fare clic su Visualizza tutti gli indicatori per visualizzare gli indicatori disponibili che puoi usare per creare la regola di rilevamento. Puoi creare una regola usando le opzioni disponibili per gli indicatori di processo, file, rete, registro e ID evento Windows.
- Nella casella di testo sottostante Inserisci condizioni regola, e inserisci l'indicatore che vuoi usare per costruire la regola. Le opzioni cambiano dinamicamente in base alle lettere che inserisci. Sfoglia le voci elencate e seleziona l'indicatore appropriato per costruire la regola.
- Inserisci l'operatore matematico che vuoi usare. Ad esempio, potresti voler cercare il nome del processo Teams.exe. Di conseguenza, puoi usare = firmare e digitare teams.exe.
- Utilizzare l'operatore logico appropriato E se si desidera passare un altro argomento alla query della regola.
- Inserisci l'analisi della causa principale Description.
- Fare clic su Procedi. Advanced Viene visualizzata la finestra Opzioni.
- Seleziona Livello processo dall'elenco. Questo è un campo facoltativo.
- Seleziona Livello di allerta dall'elenco. Questo è un campo facoltativo.
- Selezionare Unisci colonna dall'elenco.
- Seleziona la piattaforma (Windows, Linux, macOS) a cui vuoi applicare questa regola, contrassegnandola di conseguenza. Ciò assicura che la regola sia personalizzata per piattaforme specifiche.
- Clicchi Convalida e Salva.
- Nota: la regola viene salvata e applicata immediatamente. Ogni volta che le condizioni specificate nella regola vengono soddisfatte su un host, viene generato un avviso corrispondente sulla console XDR.
Fare riferimento a questa tabella come esempio di creazione di regole
| Missione | Operatore | Esempio | Spiegazione |
|---|---|---|---|
| Esatta uguaglianza | == |
process.name == "cmd.exe" |
Partite esattamente valore sul campo parola chiave |
| Non uguale | != |
event.code != 4624 |
Corrisponde a tutti i valori tranne 4624 |
| Partita (generale) | : |
process.command_line : "powershell" |
Corrispondenza tokenizzata sui campi di testo; esatta sui campi di parole chiave |
| Il carattere jolly contiene | : + * |
process.command_line : "*-enc*" |
Ricerca di sottostringhe |