Memahami cakupan ancaman dengan matriks MITRE ATT&CK
Dokumen ini menjelaskan cara menggunakan dasbor matriks MITRE ATT&CK di Google Security Operations. Matriks ini membantu Anda memahami postur keamanan organisasi Anda berdasarkan framework MITRE ATT&CK. Alat ini juga membantu Anda menemukan celah dalam cakupan ancaman dan memprioritaskan tugas keamanan Anda.
Memahami taktik dan teknik
Dalam framework MITRE ATT&CK, taktik dan teknik adalah dua konsep dasar yang digunakan untuk mengategorikan perilaku penyerang.
Taktik: Sasaran tingkat tinggi yang ingin dicapai penyerang. Misalnya, taktik umum mencakup
Initial Access(masuk ke jaringan),Persistence(tetap berada di jaringan), danExfiltration(mencuri data).Teknik: Metode spesifik yang digunakan untuk mencapai taktik. Misalnya, penyerang dapat menggunakan teknik
Phishinguntuk mendapatkan taktikInitial Access. Setiap taktik memiliki teknik berbeda yang dapat digunakan oleh penyerang.
Taktik berikut ditampilkan dalam matriks MITRE ATT&CK:
| Taktik MITRE ATT&CK | Deskripsi |
|---|---|
| Koleksi | Mengumpulkan data. |
| Perintah dan kontrol | Sistem yang dikontrol kontak. |
| Akses kredensial | Mencuri informasi login dan sandi. |
| Penghindaran pertahanan | Hindari deteksi. |
| Discovery | Cari tahu lingkungan Anda. |
| Eksekusi | Menjalankan kode berbahaya. |
| Pemindahan yang tidak sah | Mencuri data. |
| Dampak | Memanipulasi, mengganggu, atau menghancurkan sistem dan data. |
| Akses awal | Mendapatkan akses ke lingkungan Anda. |
| Pergerakan lateral | Bergeraklah di lingkungan Anda. |
| Persistensi | Mempertahankan pijakan. |
| Eskalasi akses | Mendapatkan izin tingkat yang lebih tinggi. |
| Pengintaian | Mengumpulkan informasi untuk digunakan dalam operasi berbahaya di masa mendatang.
Taktik ini ditampilkan dalam matriks hanya jika PREplatform
dipilih dalam preferensi pengguna Anda.
|
| Pengembangan resource | Membangun resource untuk mendukung operasi berbahaya.
Taktik ini ditampilkan dalam matriks hanya jika platform PRE dipilih dalam preferensi pengguna Anda.
|
Kasus penggunaan umum
Bagian ini mencantumkan beberapa kasus penggunaan umum untuk menggunakan matriks MITRE ATT&CK.
Menanggapi saran ancaman baru
Skenario: Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan peringatan tentang ransomware baru yang menyerang industri Anda.
Tujuan pengguna: seorang engineer deteksi perlu mengetahui apakah aturan keamanan saat ini dapat mendeteksi taktik, teknik, dan prosedur (TTP) spesifik yang digunakan oleh ancaman baru ini.
Langkah-langkah:
Engineer membuka matriks MITRE ATT&CK.
Mereka memfilter matriks untuk menandai teknik yang disebutkan dalam peringatan CISA (misalnya,
T1486: Data Encrypted for Impact,T1059.001: PowerShell).Mereka melihat bahwa matriks menunjukkan bahwa
PowerShelltercakup dengan baik, tetapiData Encrypted for Impactadalah kesenjangan penting dengan "Tidak Ada Cakupan".
Hasil: engineer menemukan celah berprioritas tinggi dalam pertahanan mereka. Mereka kini dapat membuat aturan deteksi baru untuk mencakup perilaku ransomware.
Menyesuaikan dan meningkatkan kualitas deteksi yang ada
Skenario: setelah insiden keamanan baru-baru ini, seorang engineer keamanan perlu meningkatkan kualitas deteksi yang dipicu.
Tujuan pengguna: engineer ingin melihat semua titik data untuk teknik tertentu. Hal ini membantu mereka memutuskan apakah aturan yang ada menggunakan sumber dan logika data terbaik.
Langkah-langkah:
Engineer membuka matriks dan mengklik teknik
T1003: OS Credential Dumping.Tampilan Detail menampilkan dua aturan untuk teknik ini.
Mereka melihat bahwa kedua aturan menggunakan log command line yang lebih lama. Namun, widget sumber data menunjukkan bahwa alat EDR baru mereka memberikan data dengan fidelitas yang lebih tinggi untuk teknik ini.
Hasil: engineer menemukan cara yang jelas untuk meningkatkan kualitas deteksi. Mereka kini dapat membuat aturan baru yang lebih andal menggunakan data EDR. Hal ini menghasilkan lebih sedikit positif palsu dan peluang yang lebih baik untuk mendeteksi serangan dumping kredensial yang kompleks.
Sebelum memulai
Agar aturan kustom Anda muncul dalam matriks dan dihitung dalam cakupan ancaman, Anda harus memetakannya ke satu atau beberapa teknik MITRE ATT&CK.
Untuk melakukannya, tambahkan kunci technique ke bagian metadata aturan. Nilai
harus berupa ID teknik MITRE ATT&CK yang valid atau beberapa ID sebagai string
yang dipisahkan koma.
Contoh: metadata: technique="T1548,T1134.001"
Aturan baru akan muncul dalam matriks dalam beberapa menit.
Mengakses matriks MITRE ATT&CK
Untuk mengakses matriks MITRE ATT&CK, lakukan hal berikut:
Dari menu navigasi, klik Deteksi > Aturan & Deteksi.
Buka tab MITRE ATT&CK Matrix.
Matriks MITRE ATT&CK akan muncul.
Menggunakan matriks MITRE ATT&CK
Matriks menampilkan taktik MITRE ATT&CK sebagai kolom dan teknik sebagai kartu dalam kolom tersebut. Setiap kartu teknik diberi kode warna untuk menunjukkan status dan kedalaman cakupan deteksi Anda saat ini untuk teknik tersebut.
Menyempurnakan perhitungan cakupan
Untuk menyaring penghitungan cakupan, gunakan daftar untuk Jenis aturan, Status aktif, dan Status pemberitahuan untuk menyaring penghitungan cakupan Anda.
Menelusuri teknik
Gunakan kotak penelusuran untuk menemukan teknik tertentu menurut nama (misalnya,
Windows Command Shell) atau ID (misalnya, T1059.003), jenis log, atau
sumber data MITRE.
Melihat detail teknik dan sumber log
Klik kartu teknik apa pun untuk membuka panel samping detail teknik. Panel ini memberikan informasi tentang teknik dan kemampuan organisasi Anda untuk mendeteksinya.
Panel ini berisi informasi berikut:
Deskripsi MITRE: deskripsi resmi teknik dari framework MITRE ATT&CK.
Aturan terkait: daftar semua aturan terkait untuk teknik tersebut.
Sumber log: sumber log yang sesuai dengan sumber data MITRE untuk teknik yang telah mengirim data secara aktif dalam 30 hari terakhir.
Mengekspor data
Klik Ekspor untuk mendownload tampilan matriks saat ini sebagai file JSON. File ini kompatibel dengan alat navigator MITRE ATT&CK resmi untuk analisis lebih lanjut.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.