Diese Seite wurde von der Cloud Translation API übersetzt.

Bedrohungsabdeckung mit der MITRE ATT&CK-Matrix nachvollziehen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie das Dashboard für die MITRE ATT&CK-Matrix in Google Security Operations verwenden. Die Matrix hilft Ihnen, die Sicherheitslage Ihres Unternehmens im Hinblick auf das MITRE ATT&CK-Framework zu verstehen. Außerdem können Sie so Lücken in Ihrer Bedrohungsabdeckung erkennen und Ihre Sicherheitsaufgaben priorisieren.

Taktiken und Techniken verstehen

Im MITRE ATT&CK-Framework werden die folgenden grundlegenden Konzepte verwendet, um das Verhalten von Angreifern zu kategorisieren.

Taktik: Obergeordnetes Ziel, das ein Angreifer erreichen möchte. Gängige Taktiken sind beispielsweise Initial Access (Eindringen in das Netzwerk), Persistence (Verbleiben im Netzwerk) und Exfiltration (Stehlen von Daten).
Technik: Die spezifische Methode, die verwendet wird, um eine Taktik zu erreichen. Ein Angreifer könnte beispielsweise die Phishing-Technik verwenden, um die Initial Access-Taktik zu nutzen. Für jede Taktik gibt es unterschiedliche Techniken, die ein Angreifer verwenden könnte.
Untergeordnete Technik: Eine untergeordnete Technik bietet eine genauere Beschreibung der Ausführung einer Technik. Sie beschreibt den Prozess oder Mechanismus, mit dem das Ziel einer Taktik erreicht werden soll. Beispiel: Spearphishing Attachment und Spearphishing Link sind Untertechniken der Technik Phishing.

Die folgenden Taktiken werden in der MITRE ATT&CK-Matrix angezeigt:

MITRE ATT&CK-Taktik	Beschreibung
Sammlung	Daten erfassen
Command and Control	Kontakt zu kontrollierten Systemen
Zugriff auf Anmeldedaten	Anmeldedaten und Passwörter stehlen
Umgehung von Abwehrmaßnahmen	Erkennung vermeiden
Discovery	Umgebung erforschen
Ausführung	Schädlichen Code ausführen
Exfiltration	Daten stehlen.
Auswirkungen	Systeme und Daten manipulieren, unterbrechen oder zerstören.
Anfänglicher Zugriff	Zugriff auf Ihre Umgebung erhalten
Seitliche Bewegung	In der Umgebung bewegen
Persistenz	Position behaupten
Rechteausweitung	Berechtigungen auf höherer Ebene erlangen.
Ausspähen	Informationen sammeln, die für zukünftige böswillige Aktionen verwendet werden können. Diese Taktik wird in der Matrix nur angezeigt, wenn die `PRE`-Plattform in Ihren Nutzereinstellungen ausgewählt ist.
Ressourcenentwicklung	Ressourcen zur Unterstützung schädlicher Vorgänge einrichten. Diese Taktik wird in der Matrix nur angezeigt, wenn die `PRE`-Plattform in Ihren Nutzereinstellungen ausgewählt ist.

Gängige Anwendungsfälle

In diesem Abschnitt werden einige gängige Anwendungsfälle für die MITRE ATT&CK-Matrix aufgeführt.

Neue Erkennungsmöglichkeiten identifizieren

Ziel: Als Sicherheitsanalyst möchten Sie die Sicherheitslage Ihrer Organisation proaktiv verbessern, indem Sie die Abdeckung von Erkennungsregeln erweitern.
Aufgabe: Suchen Sie nach Bereichen, in denen Sie die erforderlichen Daten haben, um neue Erkennungen zu erstellen, aber keine Regeln vorhanden sind.
Schritte:
1. Öffnen Sie die MITRE ATT&CK-Matrix.
2. Suchen Sie in der Matrix nach Technik-Karten mit einer niedrigen oder null Regelanzahl.
3. Suchen Sie nach einer Technikkarte, auf der „0 Regeln“ angezeigt wird, aber verfügbare Logtypen aufgeführt sind.
4. Klicken Sie auf die Karte, um den Bereich mit den Techniken zu öffnen.
5. Prüfen Sie die Liste der Logquellen, um sicherzustellen, dass es sich um zuverlässige Datenfeeds mit hohem Volumen handelt.
Ergebnis: Eine wertvolle Erkennungschance identifizieren. Sie wissen, dass Sie die richtigen Daten erfassen, um diese Technik zu erkennen, und können nun eine neue Regel erstellen, um diese Lücke zu schließen.

Auf eine neue Bedrohungsbenachrichtigung reagieren

Ziel: Die Cybersecurity and Infrastructure Security Agency (CISA) gibt eine Warnung zu einer neuen Ransomware heraus, die Ihre Branche angreift.
Aufgabe: Als Detection Engineer müssen Sie wissen, ob Ihre aktuellen Sicherheitsregeln die spezifischen Taktiken, Techniken und Verfahren (TTPs) erkennen können, die von dieser neuen Bedrohung verwendet werden.
Schritte:
1. Öffnen Sie die MITRE ATT&CK-Matrix.
2. Filtern Sie die Matrix, um die im CISA-Hinweis erwähnten Techniken hervorzuheben (z. B. T1486: Data Encrypted for Impact, T1059.001: PowerShell).
3. Sehen Sie sich die Matrix an. Die Matrix zeigt, dass PowerShell gut abgedeckt ist, Data Encrypted for Impact jedoch eine kritische Lücke ohne Abdeckung darstellt.
Ergebnis: Sie finden eine Lücke mit hoher Priorität in Ihren Sicherheitsmaßnahmen. Sie können jetzt eine neue Erkennungsregel erstellen, um das Ransomware-Verhalten abzudecken.

Vorhandene Erkennungen optimieren und verbessern

Ziel: Nach einem kürzlich aufgetretenen Sicherheitsvorfall müssen Sie als Security Engineer die Qualität der ausgelösten Erkennungen verbessern.
Aufgabe: Sie möchten alle Datenpunkte für eine bestimmte Technik sehen. So können Sie entscheiden, ob für Ihre vorhandenen Regeln die besten Datenquellen und die beste Logik verwendet werden.
Schritte:
1. Öffnen Sie die Matrix und klicken Sie auf die Technik T1003: OS Credential Dumping.
2. In der Ansicht Details sind die beiden Regeln für diese Technik zu sehen.
3. Beide Regeln verwenden ältere Befehlszeilenlogs. Das Datenquellen-Widget zeigt jedoch, dass das neue EDR-Tool genauere Daten für diese Technik liefert.
Ergebnis: Sie finden eine klare Möglichkeit, die Erkennungsqualität zu verbessern. Sie können jetzt eine neue, robustere Regel mit den EDR-Daten erstellen. So werden weniger falsch positive Ergebnisse erzielt und die Wahrscheinlichkeit, komplexe Angriffe zu erkennen, bei denen Anmeldedaten abgegriffen werden, steigt.

Hinweise

Damit Ihre benutzerdefinierten Regeln in der Matrix angezeigt werden und zur Bedrohungsabdeckung beitragen, müssen Sie sie einer oder mehreren MITRE ATT&CK-Techniken zuordnen.

Fügen Sie dazu dem metadata-Abschnitt der Regel einen technique-Schlüssel hinzu. Der Wert muss eine gültige MITRE ATT&CK-Technik-ID oder mehrere IDs als durch Kommas getrennter String sein.

Beispiel: metadata: technique="T1548,T1134.001"

Neue Regeln werden innerhalb weniger Minuten in der Matrix angezeigt.

Auf die MITRE ATT&CK-Matrix zugreifen

So greifen Sie auf die MITRE-ATT&CK-Matrix zu:

In Google SecOps anmelden
Klicken Sie im Navigationsmenü auf Erkennung > Regeln und Erkennungen.
Rufen Sie den Tab MITRE ATT&CK Matrix auf.

Die MITRE ATT&CK-Matrix wird angezeigt.

MITRE ATT&CK-Matrix verwenden

In der Matrix werden MITRE ATT&CK-Taktiken als Spalten und Techniken als Karten in diesen Spalten dargestellt. Jede Technikkarte ist farblich codiert, um den aktuellen Status und die Tiefe Ihrer Erkennungsabdeckung für diese Technik anzugeben.

Auf den Technik-Karten sehen Sie Folgendes:

Indikatoren für Untertechniken: Die kleinen, farbigen Indikatoren stellen die zugehörigen Untertechniken dar. Die Farbe der einzelnen Indikatoren entspricht der Anzahl der Regeln für die jeweilige Untertechnik. Bewegen Sie den Mauszeiger auf einen Indikator, um seinen Namen zu sehen.

Ein/Aus-Schaltfläche für Untertechniken: Wenn Sie die Hauptmatrix vereinfachen und visuelle Unordnung reduzieren möchten, öffnen Sie das Menü Ansichtsoptionen und entfernen Sie das Häkchen aus dem Kästchen Untertechniken anzeigen.

Anzahl der Logtypen: Hier werden die Logtypen angezeigt, die mit der Technik verknüpft sind. Wenn für eine Technik keine Regeln vorhanden sind, kann auf der Technikkarte die Anzahl der zugehörigen Logtypen angezeigt werden (z. B. „7 Logtypen“). Das bedeutet, dass Sie die erforderlichen Daten haben, um Regeln für diese Technik zu erstellen.

Berechnung der Reichweite optimieren

Verwenden Sie die Listen für Regeltyp, Live-Status und Benachrichtigungsstatus, um die Berechnung der Abdeckung zu optimieren.

Nach Techniken suchen

Verwenden Sie die Suchleiste, um nach einer bestimmten Technik anhand des Namens (z. B. Windows Command Shell) oder der ID (z. B. T1059.003) zu suchen. Wenn Sie nach Regelnamen, Logtypen oder MITRE-Datenquellen suchen, verwenden Sie das Menü Suchen nach, um die Ergebnisse einzugrenzen.

Details zur Technik und Logquellen ansehen

Klicken Sie auf eine beliebige Technikkarte, um die Seitenleiste mit den Technikdetails zu öffnen. In diesem Bereich finden Sie Informationen zur Technik und dazu, ob Ihre Organisation sie erkennen kann.

Das Feld enthält die folgenden Informationen:

MITRE-Beschreibung: die offizielle Beschreibung der Technik aus dem MITRE-ATT&CK-Framework.

Untertechniken: Alle Untertechniken, die mit der Technik verknüpft sind. Der farbige Chip neben jeder ID gibt die Anzahl der Regeln für die jeweilige Untertechnik an.

Kuratierte Regeln: Eine umfassende Liste aller zugehörigen Regeln für diese Technik.

Logquellen: Logquellen, die den MITRE-Datenquellen für das Verfahren entsprechen und in den letzten 30 Tagen aktiv Daten gesendet haben.

Daten exportieren

Klicken Sie auf Exportieren, um die aktuelle Matrixansicht als JSON-Datei herunterzuladen. Diese Datei ist mit dem offiziellen MITRE ATT&CK Navigator-Tool für weitere Analysen kompatibel.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten