Bedrohungsabdeckung mit der MITRE ATT&CK-Matrix nachvollziehen
In diesem Dokument wird beschrieben, wie Sie das Dashboard für die MITRE ATT&CK-Matrix in Google Security Operations verwenden. Die Matrix hilft Ihnen, die Sicherheitslage Ihres Unternehmens im Hinblick auf das MITRE ATT&CK-Framework zu verstehen. Außerdem können Sie so Lücken in Ihrer Bedrohungsabdeckung erkennen und Ihre Sicherheitsaufgaben priorisieren.
Taktiken und Techniken verstehen
Im MITRE ATT&CK Framework sind Taktiken und Techniken zwei grundlegende Konzepte, mit denen das Verhalten von Angreifern kategorisiert wird.
Taktik: Obergeordnetes Ziel, das ein Angreifer erreichen möchte. Gängige Taktiken sind beispielsweise
Initial Access(Eindringen in das Netzwerk),Persistence(Verbleiben im Netzwerk) undExfiltration(Stehlen von Daten).Technik: Die spezifische Methode, mit der eine Taktik umgesetzt wird. Ein Angreifer könnte beispielsweise die
Phishing-Technik verwenden, um dieInitial Access-Taktik zu erreichen. Für jede Taktik gibt es unterschiedliche Techniken, die ein Angreifer verwenden kann.
Die folgenden Taktiken werden in der MITRE ATT&CK-Matrix angezeigt:
| MITRE ATT&CK-Taktik | Beschreibung |
|---|---|
| Sammlung | Daten erfassen |
| Command and Control | Kontakt zu kontrollierten Systemen |
| Zugriff auf Anmeldedaten | Anmeldedaten und Passwörter stehlen |
| Umgehung von Abwehrmaßnahmen | Erkennung vermeiden. |
| Discovery | Umgebung ermitteln |
| Ausführung | Schadcode ausführen |
| Exfiltration | Daten stehlen. |
| Auswirkungen | Systeme und Daten manipulieren, unterbrechen oder zerstören. |
| Anfänglicher Zugriff | Zugriff auf Ihre Umgebung erhalten |
| Seitliche Bewegung | Bewegen Sie sich in Ihrer Umgebung. |
| Persistenz | Fuß fassen. |
| Rechteausweitung | Höherstufige Berechtigungen erhalten |
| Ausspähen | Informationen für zukünftige schädliche Operationen sammeln.
Diese Taktik wird in der Matrix nur angezeigt, wenn die PRE-Plattform in Ihren Nutzereinstellungen ausgewählt ist.
|
| Ressourcenentwicklung | Ressourcen zur Unterstützung schädlicher Vorgänge einrichten.
Diese Taktik wird in der Matrix nur angezeigt, wenn die PRE-Plattform in Ihren Nutzereinstellungen ausgewählt ist.
|
Gängige Anwendungsfälle
In diesem Abschnitt werden einige gängige Anwendungsfälle für die MITRE ATT&CK-Matrix aufgeführt.
Auf eine neue Bedrohungsbenachrichtigung reagieren
Szenario: Die Cybersecurity and Infrastructure Security Agency (CISA) gibt eine Warnung vor einer neuen Ransomware heraus, die Ihre Branche angreift.
Ziel des Nutzers: Ein Detection Engineer muss wissen, ob mit seinen aktuellen Sicherheitsregeln die spezifischen Taktiken, Techniken und Verfahren (TTPs) erkannt werden können, die von dieser neuen Bedrohung verwendet werden.
Schritte:
Der Techniker öffnet die MITRE ATT&CK-Matrix.
Sie filtern die Matrix, um die im CISA-Hinweis erwähnten Techniken hervorzuheben (z. B.
T1486: Data Encrypted for Impact,T1059.001: PowerShell).Sie stellen fest, dass
PowerShellgut abgedeckt ist,Data Encrypted for Impactjedoch eine kritische Lücke mit „Keine Abdeckung“ aufweist.
Ergebnis: Der Entwickler findet eine Sicherheitslücke mit hoher Priorität. Sie können jetzt eine neue Erkennungsregel erstellen, um das Ransomware-Verhalten abzudecken.
Vorhandene Erkennungen optimieren und verbessern
Szenario: Nach einem kürzlich aufgetretenen Sicherheitsvorfall muss ein Sicherheitsexperte die Qualität der ausgelösten Erkennungen verbessern.
Nutzerziel: Der Entwickler möchte alle Datenpunkte für eine bestimmte Technik sehen. So können sie entscheiden, ob für ihre vorhandenen Regeln die besten Datenquellen und die beste Logik verwendet werden.
Schritte:
Der Kundenservicemitarbeiter öffnet die Matrix und klickt auf die Technik
T1003: OS Credential Dumping.In der Ansicht Details sind die beiden Regeln für diese Technik zu sehen.
Sie stellen fest, dass beide Regeln ältere Befehlszeilenprotokolle verwenden. Das Datenquellen-Widget zeigt jedoch, dass das neue EDR-Tool genauere Daten für diese Technik liefert.
Ergebnis: Der Techniker findet eine klare Möglichkeit, die Erkennungsqualität zu verbessern. Sie können jetzt eine neue, robustere Regel mit den EDR-Daten erstellen. Dadurch werden weniger falsch positive Ergebnisse erzielt und die Wahrscheinlichkeit, komplexe Angriffe zu erkennen, bei denen Anmeldedaten abgegriffen werden, steigt.
Hinweise
Damit Ihre benutzerdefinierten Regeln in der Matrix angezeigt werden und zur Bedrohungsabdeckung beitragen, müssen Sie sie einer oder mehreren MITRE ATT&CK-Techniken zuordnen.
Fügen Sie dazu dem metadata-Abschnitt der Regel einen technique-Schlüssel hinzu. Der Wert muss eine gültige MITRE ATT&CK-Technik-ID oder mehrere IDs als durch Kommas getrennter String sein.
Beispiel: metadata: technique="T1548,T1134.001"
Neue Regeln werden innerhalb weniger Minuten in der Matrix angezeigt.
Auf die MITRE ATT&CK-Matrix zugreifen
So greifen Sie auf die MITRE-ATT&CK-Matrix zu:
Klicken Sie im Navigationsmenü auf Erkennung > Regeln und Erkennungen.
Rufen Sie den Tab MITRE ATT&CK Matrix auf.
Die MITRE ATT&CK-Matrix wird angezeigt.
MITRE ATT&CK-Matrix verwenden
In der Matrix werden MITRE ATT&CK-Taktiken als Spalten und Techniken als Karten in diesen Spalten dargestellt. Jede Technikkarte ist farblich codiert, um den aktuellen Status und die Tiefe Ihrer Erkennungsabdeckung für diese Technik anzugeben.
Berechnung der Reichweite optimieren
Verwenden Sie die Listen für Regeltyp, Live-Status und Benachrichtigungsstatus, um die Berechnung der Abdeckung zu optimieren.
Nach Techniken suchen
Über die Suchleiste können Sie nach einer bestimmten Technik anhand des Namens (z. B. Windows Command Shell) oder der ID (z. B. T1059.003), nach Protokolltypen oder nach einer MITRE-Datenquelle suchen.
Details zur Methode und Logquellen ansehen
Klicken Sie auf eine beliebige Technikkarte, um die Seitenleiste mit den Technikdetails zu öffnen. In diesem Bereich finden Sie Informationen zur Technik und dazu, ob Ihre Organisation sie erkennen kann.
Das Feld enthält die folgenden Informationen:
MITRE-Beschreibung: Die offizielle Beschreibung der Technik aus dem MITRE-ATT&CK-Framework.
Zugehörige Regeln: Eine Liste aller zugehörigen Regeln für diese Technik.
Logquellen: Logquellen, die den MITRE-Datenquellen für das Verfahren entsprechen und in den letzten 30 Tagen aktiv Daten gesendet haben.
Daten exportieren
Klicken Sie auf Exportieren, um die aktuelle Matrixansicht als JSON-Datei herunterzuladen. Diese Datei ist mit dem offiziellen MITRE ATT&CK Navigator-Tool für die weitere Analyse kompatibel.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten