通过 MITRE ATT&CK 矩阵了解威胁覆盖范围
本文档介绍了如何在 Google Security Operations 中使用 MITRE ATT&CK 矩阵信息中心。该矩阵可帮助您了解组织在 MITRE ATT&CK 框架方面的安全态势。它还可以帮助您发现威胁覆盖范围的不足之处,并确定安全任务的优先级。
了解策略和技巧
在 MITRE ATT&CK 框架中,策略和技术是用于对攻击者行为进行分类的两个基本概念。
策略:攻击者试图实现的高级目标。例如,常见策略包括
Initial Access(进入网络)、Persistence(留在网络中)和Exfiltration(窃取数据)。技术:用于实现战术的具体方法。例如,攻击者可能会使用
Phishing技术来获得Initial Access策略。每种战术都有不同的攻击者可能会使用的技术。
MITRE ATT&CK 矩阵中会显示以下策略:
| MITRE ATT&CK 策略 | 说明 |
|---|---|
| 收集 | 收集数据。 |
| 命令与控制 | 联系受控系统。 |
| 凭据访问 | 窃取登录信息和密码信息。 |
| 防护规避 | 避免被检测到。 |
| Discovery | 了解您的环境。 |
| 执行 | 运行恶意代码。 |
| 渗漏 | 窃取数据。 |
| 影响 | 操纵、中断或破坏系统和数据。 |
| 初始访问 | 进入您的环境。 |
| 横向移动 | 在环境中移动。 |
| 持久性 | 保持据点。 |
| 提升权限 | 获得更高级别的权限。 |
| 侦察 | 收集信息以用于未来的恶意操作。
只有在用户偏好设置中选择 PRE 平台时,此策略才会显示在矩阵中。
|
| 资源开发 | 建立资源以支持恶意操作。
只有在用户偏好设置中选择 PRE 平台时,此策略才会显示在矩阵中。
|
常见使用场景
本部分列出了使用 MITRE ATT&CK 矩阵的一些常见用例。
应对新的威胁公告
情景:信息安全和基础设施安全局 (CISA) 发布了有关一种新型勒索软件攻击您所在行业的警报。
用户目标:检测工程师需要了解其当前的安全规则是否可以检测到这种新威胁所使用的特定策略、技术和程序 (TTP)。
步骤:
工程师打开 MITRE ATT&CK 矩阵。
它们会过滤矩阵,以突出显示 CISA 提醒中提及的技术(例如
T1486: Data Encrypted for Impact、T1059.001: PowerShell)。他们注意到,矩阵显示
PowerShell的覆盖率很高,但Data Encrypted for Impact是“无覆盖”的关键缺口。
结果:工程师发现防御系统存在一个高优先级的漏洞。现在,他们可以创建新的检测规则来涵盖勒索软件行为。
调整和改进现有检测
场景:在最近发生安全事件后,安全工程师需要提高触发的检测的质量。
用户目标:工程师希望查看特定技术的全部数据点。这有助于他们确定现有规则是否使用了最佳数据源和逻辑。
步骤:
工程师打开矩阵,然后点击技术
T1003: OS Credential Dumping。详细信息视图显示了此技术的两条规则。
他们注意到,这两个规则都使用旧的命令行日志。不过,数据源 widget 显示,他们的新 EDR 工具可为此技术提供更高保真度的数据。
结果:工程师找到了一种可有效提高检测质量的方法。 现在,他们可以使用 EDR 数据创建新的、更强大的规则。这样可以减少误报,并提高捕获复杂凭据转储攻击的几率。
准备工作
如需让自定义规则显示在矩阵中并计入威胁覆盖范围,您必须将它们映射到一项或多项 MITRE ATT&CK 技术。
为此,请向规则的 metadata 部分添加 technique 键。该值必须是有效的 MITRE ATT&CK 技术 ID 或以英文逗号分隔的多个 ID 组成的字符串。
示例:metadata: technique="T1548,T1134.001"
新规则会在几分钟内显示在矩阵中。
访问 MITRE ATT&CK 矩阵
如需访问 MITRE ATT&CK 矩阵,请执行以下操作:
在导航菜单中,依次点击检测 > 规则和检测。
前往 MITRE ATT&CK 矩阵标签页。
系统会显示 MITRE ATT&CK 矩阵。
使用 MITRE ATT&CK 矩阵
该矩阵以列的形式显示 MITRE ATT&CK 策略,并以卡片的形式在这些列中显示技术。每张技术卡片都采用颜色编码,以指示您当前对相应技术的检测覆盖范围的状态和深度。
优化覆盖面计算
如需优化覆盖面计算,请使用规则类型、有效状态和提醒状态列表来优化覆盖面计算。
搜索技巧
使用搜索栏按名称(例如 Windows Command Shell)或 ID(例如 T1059.003)、日志类型或 MITRE 数据源查找特定技术。
查看技术详情和日志来源
点击任意技术卡片,打开技术详情侧边栏。此面板提供有关相应技术以及贵组织检测该技术的能力的信息。
该面板包含以下信息:
MITRE 说明:MITRE ATT&CK 框架中对相应技术的官方说明。
关联规则:相应技术的全部关联规则的列表。
日志源:与相应技术的 MITRE 数据源对应的日志源,这些日志源在过去 30 天内主动发送过数据。
导出数据
点击导出,将当前矩阵视图下载为 JSON 文件。此文件与官方 MITRE ATT&CK Navigator 工具兼容,可用于进一步分析。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。