Compreenda a cobertura de ameaças com a matriz MITRE ATT&CK
Este documento descreve como usar o painel de controlo da matriz MITRE ATT&CK no Google Security Operations. A matriz ajuda a compreender a postura de segurança da sua organização em relação à estrutura MITRE ATT&CK. Também ajuda a encontrar lacunas na sua cobertura de ameaças e a dar prioridade às suas tarefas de segurança.
Compreenda as táticas e as técnicas
Na estrutura MITRE ATT&CK, as táticas e as técnicas são dois conceitos fundamentais usados para categorizar o comportamento dos adversários.
Tática: objetivo de alto nível que um atacante está a tentar alcançar. Por exemplo, as táticas comuns incluem
Initial Access(entrar na rede),Persistence(permanecer na rede) eExfiltration(roubar dados).Técnica: o método específico usado para alcançar uma tática. Por exemplo, um atacante pode usar a técnica
Phishingpara ganhar a táticaInitial Access. Cada tática tem técnicas diferentes que um adversário pode usar.
As seguintes táticas são apresentadas na matriz MITRE ATT&CK:
| Tática MITRE ATT&CK | Descrição |
|---|---|
| Coleção | Recolha dados. |
| Comando e controlo | Contactar sistemas controlados. |
| Acesso a credenciais | Roubar informações de início de sessão e palavras-passe. |
| Evasão de defesa | Evitar a deteção. |
| Descoberta | Descubra o seu ambiente. |
| Execução | Executar código malicioso. |
| Exfiltração | Roubar dados. |
| Impacto | Manipular, interromper ou destruir sistemas e dados. |
| Acesso inicial | Obter acesso ao seu ambiente. |
| Movimento lateral | Mover-se no seu ambiente. |
| Persistência | Manter a posição. |
| Escalamento de privilégios | Obter autorizações de nível superior. |
| Reconnaissance | Recolher informações para utilização em futuras operações maliciosas.
Esta tática é apresentada na matriz apenas quando a PREplataforma é selecionada nas preferências do utilizador.
|
| Desenvolvimento de recursos | Estabeleça recursos para apoiar operações maliciosas.
Esta tática é apresentada na matriz apenas quando a plataforma PRE está selecionada nas suas preferências do utilizador.
|
Exemplos de utilização comuns
Esta secção apresenta alguns exemplos de utilização comuns da matriz MITRE ATT&CK.
Responda a um novo aviso de ameaça
Cenário: a Cybersecurity and Infrastructure Security Agency (CISA) emite um alerta sobre um novo ransomware que está a atacar a sua indústria.
Objetivo do utilizador: um engenheiro de deteção precisa de saber se as regras de segurança atuais conseguem detetar as táticas, as técnicas e os procedimentos (TTPs) específicos usados por esta nova ameaça.
Passos:
O engenheiro abre a matriz MITRE ATT&CK.
Filtram a matriz para realçar as técnicas mencionadas no alerta da CISA (por exemplo,
T1486: Data Encrypted for ImpacteT1059.001: PowerShell).Reparam que a matriz mostra que
PowerShelltem uma boa cobertura, masData Encrypted for Impacté uma lacuna crítica com "Sem cobertura".
Resultado: o engenheiro encontra uma lacuna de alta prioridade nas suas defesas. Agora, podem criar uma nova regra de deteção para abranger o comportamento do ransomware.
Ajuste e melhore as deteções existentes
Cenário: após um incidente de segurança recente, um engenheiro de segurança tem de melhorar a qualidade das deteções que foram acionadas.
Objetivo do utilizador: o engenheiro quer ver todos os pontos de dados para uma técnica específica. Isto ajuda-os a decidir se as regras existentes estão a usar as melhores origens de dados e lógica.
Passos:
O engenheiro abre a matriz e clica na técnica
T1003: OS Credential Dumping.A vista Detalhes mostra as duas regras desta técnica.
Reparam que ambas as regras usam registos da linha de comandos mais antigos. No entanto, o widget de origem de dados mostra que a nova ferramenta EDR fornece dados de maior fidelidade para esta técnica.
Resultado: o engenheiro encontra uma forma clara de melhorar a qualidade da deteção. Agora, podem criar uma regra nova e mais robusta com os dados de EDR. Isto leva a menos falsos positivos e a uma maior probabilidade de deteção de ataques de roubo de credenciais complexos.
Antes de começar
Para que as suas regras personalizadas apareçam na matriz e sejam contabilizadas para a cobertura de ameaças, tem de mapeá-las para uma ou mais técnicas do MITRE ATT&CK.
Para tal, adicione uma chave technique à secção metadata da regra. O valor tem de ser um ID de técnica MITRE ATT&CK válido ou vários IDs como uma string separada por vírgulas.
Exemplo: metadata: technique="T1548,T1134.001"
As novas regras aparecem na matriz dentro de alguns minutos.
Aceda à matriz MITRE ATT&CK
Para aceder à matriz MITRE ATT&CK, faça o seguinte:
No menu de navegação, clique em Deteção > Regras e deteções.
Navegue para o separador Matriz MITRE ATT&CK.
A matriz MITRE ATT&CK é apresentada.
Use a matriz MITRE ATT&CK
A matriz apresenta táticas do MITRE ATT&CK como colunas e técnicas como cartões nessas colunas. Cada cartão de técnica tem um código de cores para indicar o estado atual e a profundidade da cobertura de deteção dessa técnica.
Refine o cálculo da cobertura
Para refinar o cálculo da cobertura, use as listas para Tipo de regra, Estado em direto e Estado de alerta para refinar os cálculos da cobertura.
Pesquise técnicas
Use a barra de pesquisa para encontrar uma técnica específica por nome (por exemplo, Windows Command Shell) ou ID (por exemplo, T1059.003), tipos de registos ou origem de dados MITRE.
Veja detalhes da técnica e origens de registos
Clique em qualquer cartão de técnica para abrir o painel lateral de detalhes da técnica. Este painel fornece informações sobre a técnica e a capacidade da sua organização de a detetar.
O painel contém as seguintes informações:
Descrição da MITRE: a descrição oficial da técnica da framework MITRE ATT&CK.
Regras associadas: uma lista de todas as regras associadas a essa técnica.
Origens de registos: origens de registos que correspondem às origens de dados do MITRE para a técnica que enviaram ativamente dados nos últimos 30 dias.
Exportar dados
Clique em Exportar para transferir a vista de matriz atual como um ficheiro JSON. Este ficheiro é compatível com a ferramenta oficial MITRE ATT&CK Navigator para análise adicional.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.