Comprende la cobertura de amenazas con la matriz de MITRE ATT&CK
En este documento, se describe cómo usar el panel de la matriz de MITRE ATT&CK en Google Security Operations. La matriz te ayuda a comprender la postura de seguridad de tu organización en relación con el framework de MITRE ATT&CK. También te ayuda a encontrar brechas en tu cobertura de amenazas y a priorizar tus tareas de seguridad.
Comprende las tácticas y las técnicas
En el framework de MITRE ATT&CK, los siguientes son los conceptos fundamentales que se usan para categorizar el comportamiento del adversario.
Táctica: Es el objetivo general que un atacante intenta lograr. Por ejemplo, las tácticas comunes incluyen
Initial Access(ingresar a la red),Persistence(permanecer en la red) yExfiltration(robar datos).Técnica: Es el método específico que se usa para lograr una táctica. Por ejemplo, un atacante podría usar la técnica
Phishingpara obtener la tácticaInitial Access. Cada táctica tiene diferentes técnicas que un adversario podría usar.Sub-técnica: Una sub-técnica proporciona una descripción más específica de cómo se ejecuta una técnica. Detalla el proceso o mecanismo para lograr el objetivo de una táctica. Por ejemplo,
Spearphishing AttachmentySpearphishing Linkson subtécnicas de la técnicaPhishing.
En la matriz de MITRE ATT&CK, se muestran las siguientes tácticas:
| Táctica de MITRE ATT&CK | Descripción |
|---|---|
| Colección | Recopila datos. |
| Comando y control | Sistemas de contacto controlado |
| Acceso a credenciales | Robar información de acceso y contraseñas |
| Evasión de defensa | Evita la detección. |
| Discovery | Conocer tu entorno |
| Ejecución | Ejecutar código malicioso |
| Robo de datos | Robar datos |
| Impacto | Manipular, interrumpir o destruir sistemas y datos |
| Acceso inicial | Obtén acceso a tu entorno. |
| Movimiento lateral | Desplazarte por tu entorno |
| Persistencia | Mantener la posición |
| Elevación de privilegios | Obtener permisos de nivel más alto |
| Reconocimiento | Recopilar información para usarla en futuras operaciones maliciosas
Esta táctica se muestra en la matriz solo cuando se selecciona la plataforma PRE en tus preferencias de usuario.
|
| Desarrollo de recursos | Establecer recursos para respaldar operaciones maliciosas
Esta táctica solo se muestra en la matriz cuando se selecciona la plataforma PRE en tus preferencias de usuario.
|
Casos de uso habituales
En esta sección, se enumeran algunos casos de uso comunes para la matriz de MITRE ATT&CK.
Identifica nuevas oportunidades de detección
Objetivo: Como analista de seguridad, deseas mejorar de forma proactiva la postura de seguridad de tu organización ampliando la cobertura de las reglas de detección.
Tarea: Busca áreas en las que tengas los datos necesarios para crear nuevas detecciones, pero no tengas reglas implementadas.
Pasos:
Abre la matriz de MITRE ATT&CK.
Analiza la matriz para encontrar tarjetas de técnicas que muestren un recuento de reglas bajo o nulo.
Busca una tarjeta de técnica que muestre "0 reglas", pero que incluya los tipos de registros disponibles.
Haz clic en la tarjeta para abrir el panel de detalles de la técnica.
Revisa la lista de fuentes de registros para confirmar que se trate de feeds de datos confiables y de gran volumen.
Resultado: Identifica una oportunidad de detección valiosa. Sabes que estás incorporando correctamente los datos adecuados para detectar esta técnica y ahora puedes proceder a crear una regla nueva para cerrar esta brecha de cobertura.
Cómo responder a un nuevo aviso de amenaza
Objetivo: La Cybersecurity and Infrastructure Security Agency (CISA) emite una alerta sobre un nuevo ransomware que ataca tu industria.
Tarea: Como ingeniero de detección, debes saber si tus reglas de seguridad actuales pueden detectar las tácticas, las técnicas y los procedimientos (TTP) específicos que utiliza esta nueva amenaza.
Pasos:
Abre la matriz de MITRE ATT&CK.
Filtra la matriz para destacar las técnicas mencionadas en la alerta de la CISA (por ejemplo,
T1486: Data Encrypted for Impact,T1059.001: PowerShell).Observa la matriz. Descubres que la matriz muestra que
PowerShellestá bien cubierta, peroData Encrypted for Impactes una brecha crítica con "Sin cobertura".
Resultado: Encuentras una brecha de alta prioridad en tus defensas. Ahora puedes crear una nueva regla de detección para abarcar el comportamiento del ransomware.
Ajusta y mejora las detecciones existentes
Objetivo: Después de un incidente de seguridad reciente, como ingeniero de seguridad, debes mejorar la calidad de las detecciones que se activaron.
Tarea: Quieres ver todos los datos de una técnica específica. Esto te ayuda a decidir si tus reglas existentes usan las mejores fuentes de datos y la mejor lógica.
Pasos:
Abre la matriz y haz clic en la técnica
T1003: OS Credential Dumping.En la vista Detalles, se muestran las dos reglas de esta técnica.
Ten en cuenta que ambas reglas usan registros de línea de comandos más antiguos. Sin embargo, el widget de la fuente de datos muestra que la nueva herramienta EDR proporciona datos de mayor fidelidad para esta técnica.
Resultado: Encontraste una forma clara de mejorar la calidad de la detección. Ahora puedes crear una regla nueva y más sólida con los datos del EDR. Esto genera menos falsos positivos y una mayor probabilidad de detectar ataques complejos de volcado de credenciales.
Antes de comenzar
Para que tus reglas personalizadas aparezcan en la matriz y se tengan en cuenta para la cobertura de amenazas, debes asignarlas a una o más técnicas de MITRE ATT&CK.
Para ello, agrega una clave technique a la sección metadata de la regla. El valor debe ser un ID de técnica de MITRE ATT&CK válido o varios IDs como una cadena separada por comas.
Ejemplo: metadata: technique="T1548,T1134.001"
Las reglas nuevas aparecerán en la matriz en unos minutos.
Accede a la matriz de MITRE ATT&CK
Para acceder a la matriz de MITRE ATT&CK, haz lo siguiente:
En el menú de navegación, haz clic en Detección > Reglas y detecciones.
Navega a la pestaña MITRE ATT&CK Matrix.
Aparecerá la matriz de MITRE ATT&CK.
Cómo usar la matriz de MITRE ATT&CK
La matriz muestra las tácticas de MITRE ATT&CK como columnas y las técnicas como tarjetas dentro de esas columnas. Cada tarjeta de técnica tiene un código de color para indicar el estado actual y la profundidad de la cobertura de detección para esa técnica.
En las tarjetas de técnicas, puedes ver lo siguiente:
Indicadores de sub-técnicas: Los indicadores pequeños y de color representan las sub-técnicas asociadas. El color de cada indicador corresponde a la cantidad de reglas para esa sub-técnica. Mantén el puntero sobre un indicador para ver su nombre.
Alternar sub-técnicas: Para simplificar la matriz principal y reducir el ruido visual, abre el menú Opciones de visualización y desmarca la casilla de verificación Mostrar sub-técnicas.
Recuento de tipos de registros: Muestra los tipos de registros asociados con la técnica. Si una técnica no tiene reglas, la tarjeta de la técnica puede mostrar un recuento de los tipos de registros asociados (por ejemplo, "7 tipos de registros"). Esto indica una oportunidad de detección, lo que demuestra que tienes los datos necesarios para crear reglas para esa técnica.
Cómo mejorar el cálculo de la cobertura
Para definir mejor el cálculo de la cobertura, usa las listas de Tipo de regla, Estado en vivo y Estado de alerta.
Buscar técnicas
Usa la barra de búsqueda para encontrar una técnica específica por su nombre (por ejemplo, Windows Command Shell) o ID (por ejemplo, T1059.003). Para los nombres de reglas, los tipos de registros o las fuentes de datos de MITRE, usa el menú Buscar por para acotar los resultados.
Consulta los detalles de la técnica y las fuentes de registros
Haz clic en cualquier tarjeta de técnica para abrir el panel lateral de detalles de la técnica. En este panel, se proporciona información sobre la técnica y la capacidad de tu organización para detectarla.
El panel contiene la siguiente información:
Descripción de MITRE: Es la descripción oficial de la técnica del framework de MITRE ATT&CK.
Sub-techniques: Todas las sub-técnicas asociadas con la técnica. El chip de color junto a cada ID indica la cantidad de reglas para esa sub-técnica específica.
Reglas seleccionadas: Una lista completa de todas las reglas asociadas a esa técnica.
Fuentes de registros: Son las fuentes de registros que corresponden a las fuentes de datos de MITRE para la técnica que enviaron datos de forma activa en los últimos 30 días.
Exportar datos
Haz clic en Exportar para descargar la vista actual de la matriz como un archivo JSON. Este archivo es compatible con la herramienta oficial MITRE ATT&CK Navigator para un análisis más detallado.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.