透過 MITRE ATT&CK 矩陣瞭解威脅涵蓋範圍
本文說明如何在 Google Security Operations 中使用 MITRE ATT&CK 矩陣資訊主頁。這個矩陣可協助您瞭解貴機構在 MITRE ATT&CK 架構下的安全防護機制。還能協助您找出威脅防護的缺口,並優先處理安全性工作。
瞭解策略和技術
在 MITRE ATT&CK 架構中,策略和技術是兩個基本概念,用於分類攻擊者的行為。
策略:攻擊者試圖達成的最終目標。舉例來說,常見的策略包括
Initial Access(進入網路)、Persistence(留在網路中) 和Exfiltration(竊取資料)。技術:用來達成策略的具體方法。舉例來說,攻擊者可能會使用
Phishing技術來取得Initial Access策略。每個戰術都有不同的技術,可供攻擊者使用。
MITRE ATT&CK 矩陣會顯示下列戰術:
| MITRE ATT&CK 戰術 | 說明 |
|---|---|
| 收藏 | 收集資料。 |
| 命令與控制 | 與受控系統聯絡。 |
| 憑證存取權 | 竊取登入和密碼資訊。 |
| 規避防禦機制 | 避免偵測。 |
| 探索 | 瞭解您的環境。 |
| 執行 | 執行惡意程式碼。 |
| 資料竊取 | 竊取資料。 |
| 影響 | 操縱、中斷或破壞系統和資料。 |
| 初始存取權 | 進入環境。 |
| 橫向移動 | 在環境中移動。 |
| 持續性 | 維持據點。 |
| 權限提升 | 取得較高層級的權限。 |
| 偵察 | 收集資訊,以供日後用於惡意活動。
只有在使用者偏好設定中選取 PRE 平台時,矩陣才會顯示這項策略。 |
| 資源開發 | 建立資源,支援惡意作業。
只有在使用者偏好設定中選取 PRE 平台時,矩陣才會顯示這項策略。
|
常見用途
本節列出使用 MITRE ATT&CK 矩陣的一些常見用途。
回應新的威脅諮詢
情境:美國網路安全暨基礎設施安全局 (CISA) 發布警示,指出有新的勒索軟體攻擊您的產業。
使用者目標:偵測工程師需要瞭解目前的安全性規則是否能偵測到這項新威脅採用的特定戰術、技術和程序 (TTP)。
步驟:
工程師開啟 MITRE ATT&CK 矩陣。
這些篩選器會醒目顯示 CISA 快訊中提及的技術 (例如
T1486: Data Encrypted for Impact、T1059.001: PowerShell)。他們發現矩陣顯示
PowerShell涵蓋範圍廣泛,但Data Encrypted for Impact是「無涵蓋範圍」的重大缺口。
結果:工程師發現防禦機制存在優先順序較高的缺口。現在可以建立新的偵測規則,涵蓋勒索軟體行為。
調整及改善現有偵測程序
情境:最近發生安全事件後,資安工程師需要提升觸發的偵測品質。
使用者目標:工程師想查看特定技術的所有資料點。這有助於他們判斷現有規則是否使用最佳資料來源和邏輯。
步驟:
工程師開啟矩陣,然後按一下技術
T1003: OS Credential Dumping。「詳細資料」檢視畫面會顯示這項技術的兩項規則。
他們發現這兩項規則都使用較舊的指令列記錄。不過,資料來源小工具顯示,他們的新 EDR 工具可為這項技術提供更高保真度的資料。
結果:工程師找到明確的方法來提升偵測品質。 現在他們可以使用 EDR 資料建立更強大的新規則。這能減少誤報,並提高偵測複雜憑證傾印攻擊的機率。
事前準備
如要在矩陣中顯示自訂規則,並將其計入威脅涵蓋範圍,請將自訂規則對應至一或多項 MITRE ATT&CK 技術。
如要這麼做,請在規則的 metadata 區段中新增 technique 鍵。值必須是有效的 MITRE ATT&CK 技術 ID,或以半形逗號分隔的多個 ID 字串。
示例:metadata: technique="T1548,T1134.001"
新規則會在幾分鐘內顯示在矩陣中。
存取 MITRE ATT&CK Matrix
如要存取 MITRE ATT&CK 矩陣,請按照下列步驟操作:
依序點選導覽選單中的「偵測」>「規則與偵測」。
前往「MITRE ATT&CK Matrix」分頁。
系統會顯示 MITRE ATT&CK 矩陣。
使用 MITRE ATT&CK 矩陣
矩陣會以直欄顯示 MITRE ATT&CK 戰術,並以這些直欄中的資訊卡顯示技術。每張技術資訊卡都會以不同顏色標示,代表您目前對該技術的偵測涵蓋範圍狀態和深度。
修正涵蓋範圍計算
如要精確計算涵蓋範圍,請使用「規則類型」、「即時狀態」和「警示狀態」清單,精確計算涵蓋範圍。
搜尋技巧
使用搜尋列依名稱 (例如 Windows Command Shell) 或 ID (例如 T1059.003)、記錄類型或 MITRE 資料來源,尋找特定技術。
查看技術詳細資料和記錄來源
按一下任一技術資訊卡,即可開啟技術詳細資料側邊面板。這個面板會提供技術相關資訊,以及貴機構偵測到該技術的能力。
這個面板包含下列資訊:
MITRE 說明:MITRE ATT&CK 架構中技術的官方說明。
相關聯的規則:與該技術相關聯的所有規則清單。
記錄來源:對應至技術 MITRE 資料來源的記錄來源,且過去 30 天內曾主動傳送資料。
匯出資料
按一下「匯出」,即可將目前的矩陣檢視畫面下載為 JSON 檔案。這個檔案與官方 MITRE ATT&CK 導覽工具相容,可供進一步分析。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。