Entender a cobertura de ameaças com a matriz MITRE ATT&CK
Este documento descreve como usar o painel da matriz MITRE ATT&CK no Google Security Operations. A matriz ajuda você a entender a postura de segurança da sua organização em relação ao framework MITRE ATT&CK. Ele também ajuda a encontrar lacunas na cobertura de ameaças e priorizar suas tarefas de segurança.
Entender táticas e técnicas
No framework MITRE ATT&CK, táticas e técnicas são dois conceitos fundamentais usados para categorizar o comportamento do adversário.
Tática: objetivo de alto nível que um invasor tenta alcançar. Por exemplo, as táticas comuns incluem
Initial Access(entrar na rede),Persistence(permanecer na rede) eExfiltration(roubar dados).Técnica: o método específico usado para alcançar uma tática. Por exemplo, um invasor pode usar a técnica
Phishingpara ganhar a táticaInitial Access. Cada tática tem técnicas diferentes que um adversário pode usar.
As seguintes táticas são mostradas na matriz do MITRE ATT&CK:
| Tática do MITRE ATT&CK | Descrição |
|---|---|
| Coleção | coletar dados; |
| Comando e controle | Sistemas de controle de contato. |
| Acesso com credenciais | Roubar informações de login e senha. |
| Evasão de defesa | Evite a detecção. |
| Discovery | Entenda seu ambiente. |
| Execução | Executar códigos maliciosos. |
| Exfiltração | Roubar dados. |
| Impacto | Manipular, interromper e destruir sistemas e dados. |
| Acesso inicial | Acesse o ambiente. |
| Movimentação lateral | Mover-se dentro do seu ambiente. |
| Persistência | Manter a posição. |
| Escalonamento de privilégios | Obter permissões de níveis mais altos. |
| Reconhecimento | Reunir informações para usar em futuras operações maliciosas.
Essa tática só aparece na matriz quando a plataforma PRE é selecionada nas preferências do usuário.
|
| Desenvolvimento de recurso | Estabelecer recursos para apoiar operações maliciosas.
Essa tática só aparece na matriz quando a plataforma PRE é selecionada nas preferências do usuário.
|
Casos de uso comuns
Esta seção lista alguns casos de uso comuns para usar a matriz MITRE ATT&CK.
Responder a um novo alerta de ameaça
Cenário: a Agência de Segurança Cibernética e Infraestrutura (CISA) emite um alerta sobre um novo ransomware que está atacando seu setor.
Objetivo do usuário: um engenheiro de detecção precisa saber se as regras de segurança atuais conseguem detectar as táticas, técnicas e procedimentos (TTPs) específicos usados por essa nova ameaça.
Etapas:
O engenheiro abre a matriz MITRE ATT&CK.
Eles filtram a matriz para destacar as técnicas mencionadas no alerta da CISA (por exemplo,
T1486: Data Encrypted for Impact,T1059.001: PowerShell).Eles notam que a matriz mostra que
PowerShellestá bem coberto, masData Encrypted for Impacté uma lacuna crítica com "Sem cobertura".
Resultado: o engenheiro encontra uma falha de alta prioridade nas defesas. Agora eles podem criar uma nova regra de detecção para cobrir o comportamento do ransomware.
Ajustar e melhorar as detecções atuais
Cenário: após um incidente de segurança recente, um engenheiro de segurança precisa melhorar a qualidade das detecções acionadas.
Objetivo do usuário: o engenheiro quer ver todos os pontos de dados de uma técnica específica. Isso ajuda a decidir se as regras atuais estão usando as melhores fontes de dados e lógica.
Etapas:
O engenheiro abre a matriz e clica na técnica
T1003: OS Credential Dumping.A visualização Detalhes mostra as duas regras dessa técnica.
Eles percebem que as duas regras usam registros de linha de comando mais antigos. No entanto, o widget de fonte de dados mostra que a nova ferramenta de EDR fornece dados de maior fidelidade para essa técnica.
Resultado: o engenheiro encontra uma maneira clara de melhorar a qualidade da detecção. Agora eles podem criar uma regra nova e mais robusta usando os dados de EDR. Isso reduz os falsos positivos e aumenta a chance de detectar ataques complexos de despejo de credenciais.
Antes de começar
Para que suas regras personalizadas apareçam na matriz e contribuam para a cobertura de ameaças, mapeie-as para uma ou mais técnicas do MITRE ATT&CK.
Para fazer isso, adicione uma chave technique à seção metadata da regra. O valor precisa ser um ID de técnica do MITRE ATT&CK válido ou vários IDs como uma string separada por vírgulas.
Exemplo: metadata: technique="T1548,T1134.001"
As novas regras aparecem na matriz em alguns minutos.
Acessar a matriz do MITRE ATT&CK
Para acessar a matriz MITRE ATT&CK, faça o seguinte:
No menu de navegação, clique em Detecção > Regras e detecções.
Navegue até a guia Matriz MITRE ATT&CK.
A matriz MITRE ATT&CK aparece.
Usar a matriz do MITRE ATT&CK
A matriz mostra as táticas do MITRE ATT&CK como colunas e as técnicas como cards dentro dessas colunas. Cada card de técnica é codificado por cores para indicar o status atual e a profundidade da cobertura de detecção para essa técnica.
Refinar o cálculo da cobertura
Para refinar o cálculo da cobertura, use as listas de Tipo de regra, Status ativo e Status de alerta.
Pesquisar técnicas
Use a barra de pesquisa para encontrar uma técnica específica por nome (por exemplo,
Windows Command Shell) ou ID (por exemplo, T1059.003), tipos de registros ou
origem de dados do MITRE.
Ver detalhes da técnica e fontes de registros
Clique em qualquer card de técnica para abrir o painel lateral de detalhes. Esse painel fornece informações sobre a técnica e a capacidade da sua organização de detectá-la.
O painel contém as seguintes informações:
Descrição do MITRE: a descrição oficial da técnica do framework MITRE ATT&CK.
Regras associadas: uma lista de todas as regras associadas a essa técnica.
Origens de registros: origens de registros que correspondem às fontes de dados do MITRE para a técnica e que enviaram dados ativamente nos últimos 30 dias.
Exportar dados
Clique em Exportar para baixar a visualização atual da matriz como um arquivo JSON. Esse arquivo é compatível com a ferramenta oficial MITRE ATT&CK Navigator para análise mais detalhada.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.