Comprendre la couverture des menaces avec la matrice MITRE ATT&CK

Compatible avec :

Ce document explique comment utiliser le tableau de bord de la matrice MITRE ATT&CK dans Google Security Operations. La matrice vous aide à comprendre la posture de sécurité de votre organisation par rapport au framework MITRE ATT&CK. Il vous aide également à identifier les lacunes de votre couverture contre les menaces et à hiérarchiser vos tâches de sécurité.

Comprendre les tactiques et les techniques

Dans le framework MITRE ATT&CK, les concepts fondamentaux suivants sont utilisés pour catégoriser le comportement des adversaires.

  • Tactique : objectif de haut niveau qu'un pirate informatique tente d'atteindre. Par exemple, les tactiques courantes incluent Initial Access (pénétration du réseau), Persistence (maintien dans le réseau) et Exfiltration (vol de données).

  • Technique : méthode spécifique utilisée pour atteindre une tactique. Par exemple, un pirate informatique peut utiliser la technique Phishing pour obtenir la tactique Initial Access. Chaque tactique comporte différentes techniques qu'un adversaire peut utiliser.

  • Sous-technique : une sous-technique fournit une description plus spécifique de la manière dont une technique est exécutée. Elle décrit le processus ou le mécanisme permettant d'atteindre l'objectif d'une tactique. Par exemple, Spearphishing Attachment et Spearphishing Link sont des sous-techniques de la technique Phishing.

Les tactiques suivantes sont affichées dans la matrice MITRE ATT&CK :

Tactique MITRE ATT&CK Description
Collection Recueillir des données
Commande et contrôle Systèmes contrôlés par contact
Accès aux identifiants voler les informations de connexion et les mots de passe ;
Éviction de défense Éviter la détection
Discovery Étudiez votre environnement.
Exécution Exécuter du code malveillant
Exfiltration Voler des données
Impact Manipuler, interrompre ou détruire les systèmes et les données
Accès initial Accédez à votre environnement.
Mouvement latéral Explorer l'environnement
Persistance Rester en place
Élévation des privilèges Obtenez des autorisations de niveau supérieur.
Reconnaissance Recueillir des informations à utiliser lors de futures opérations malveillantes. Cette tactique ne s'affiche dans la matrice que lorsque la plate-forme PRE est sélectionnée dans vos préférences utilisateur.
Développement de ressources Établir des ressources pour soutenir les opérations malveillantes. Cette tactique ne s'affiche dans la matrice que lorsque la plate-forme PRE est sélectionnée dans vos préférences utilisateur.

Cas d'utilisation courants

Cette section liste quelques cas d'utilisation courants de la matrice MITRE ATT&CK.

Identifier de nouvelles opportunités de détection

  • Objectif : en tant qu'analyste de la sécurité, vous souhaitez améliorer de manière proactive la stratégie de sécurité de votre organisation en étendant la couverture des règles de détection.

  • Tâche : identifiez les zones pour lesquelles vous disposez des données nécessaires pour créer de nouvelles détections, mais où aucune règle n'est en place.

  • Procédure :

    1. Ouvrez la matrice MITRE ATT&CK.

    2. Analysez la matrice pour identifier les fiches de techniques qui affichent un nombre de règles faible ou nul.

    3. Recherchez une fiche de technique qui affiche "0 règle", mais qui liste les types de journaux disponibles.

    4. Cliquez sur la fiche pour ouvrir le panneau d'informations sur la technique.

    5. Consultez la liste des sources de journaux pour vérifier qu'il s'agit de flux de données fiables et à volume élevé.

  • Résultat : identifiez une opportunité de détection à forte valeur ajoutée. Vous savez que vous ingérez correctement les données appropriées pour détecter cette technique. Vous pouvez maintenant créer une règle pour combler ce manque de couverture.

Répondre à un nouvel avis sur les menaces

  • Objectif : la Cybersecurity and Infrastructure Security Agency (CISA) émet une alerte concernant un nouveau rançongiciel qui attaque votre secteur.

  • Tâche : en tant qu'ingénieur en détection, vous devez savoir si vos règles de sécurité actuelles peuvent détecter les tactiques, techniques et procédures (TTP) spécifiques utilisées par cette nouvelle menace.

  • Procédure :

    1. Ouvrez la matrice MITRE ATT&CK.

    2. Filtrez la matrice pour mettre en évidence les techniques mentionnées dans l'alerte de la CISA (par exemple, T1486: Data Encrypted for Impact, T1059.001: PowerShell).

    3. Observez la matrice. Vous constatez que la matrice indique que PowerShell est bien couvert, mais que Data Encrypted for Impact présente une lacune critique avec la mention "Aucune couverture".

  • Résultat : vous identifiez une faille à priorité élevée dans vos défenses. Vous pouvez désormais créer une règle de détection pour couvrir le comportement du ransomware.

Ajuster et améliorer les détections existantes

  • Objectif : après un récent incident de sécurité, vous devez, en tant qu'ingénieur en sécurité, améliorer la qualité des détections déclenchées.

  • Tâche : vous souhaitez afficher tous les points de données pour une technique spécifique. Cela vous aide à déterminer si vos règles existantes utilisent les meilleures sources de données et la meilleure logique.

  • Procédure :

    1. Ouvrez la matrice et cliquez sur la technique T1003: OS Credential Dumping.

    2. La vue Détails affiche les deux règles pour cette technique.

    3. Notez que les deux règles utilisent d'anciens journaux de ligne de commande. Toutefois, le widget de source de données indique que le nouvel outil EDR fournit des données plus fidèles pour cette technique.

  • Résultat : vous trouvez un moyen clair d'améliorer la qualité de la détection. Vous pouvez désormais créer une règle plus robuste à l'aide des données EDR. Cela permet de réduire le nombre de faux positifs et d'augmenter les chances de détecter les attaques complexes de vol d'identifiants.

Avant de commencer

Pour que vos règles personnalisées apparaissent dans la matrice et soient prises en compte dans la couverture des menaces, vous devez les mapper à une ou plusieurs techniques MITRE ATT&CK.

Pour ce faire, ajoutez une clé technique à la section metadata de la règle. La valeur doit être un ID de technique MITRE ATT&CK valide ou plusieurs ID sous forme de chaîne séparée par des virgules.

Exemple : metadata: technique="T1548,T1134.001"

Les nouvelles règles apparaissent dans la matrice en quelques minutes.

Accéder à la matrice MITRE ATT&CK

Pour accéder à la matrice MITRE ATT&CK :

  1. Connectez-vous à Google SecOps.

  2. Dans le menu de navigation, cliquez sur Détection > Règles et détections.

  3. Accédez à l'onglet Matrice MITRE ATT&CK.

La matrice MITRE ATT&CK s'affiche.

Utiliser la matrice MITRE ATT&CK

La matrice affiche les tactiques MITRE ATT&CK sous forme de colonnes et les techniques sous forme de fiches dans ces colonnes. Chaque fiche de technique est associée à un code couleur qui indique l'état actuel et la profondeur de votre couverture de détection pour cette technique.

Sur les fiches techniques, vous pouvez afficher les éléments suivants :

Indicateurs de sous-technique : les petits indicateurs de couleur représentent les sous-techniques associées. La couleur de chaque indicateur correspond au nombre de règles pour cette sous-technique. Pointez sur un indicateur pour afficher son nom.

Bouton bascule des sous-techniques : pour simplifier la matrice principale et réduire le bruit visuel, ouvrez le menu Options d'affichage et décochez la case Afficher les sous-techniques.

Nombre de types de journaux : affiche les types de journaux associés à la technique. Si une technique ne comporte aucune règle, la fiche de la technique peut afficher le nombre de types de journaux associés (par exemple, "7 types de journaux"). Cela indique une opportunité de détection, ce qui signifie que vous disposez des données nécessaires pour créer des règles pour cette technique.

Affiner le calcul de la couverture

Pour affiner le calcul de la couverture, utilisez les listes Type de règle, État en direct et État des alertes.

Rechercher des techniques

Utilisez la barre de recherche pour trouver une technique spécifique par nom (par exemple, Windows Command Shell) ou par ID (par exemple, T1059.003). Pour les noms de règles, les types de journaux ou les sources de données MITRE, utilisez le menu Rechercher par pour affiner les résultats.

Afficher les détails techniques et les sources de journaux

Cliquez sur une fiche de technique pour ouvrir le panneau latéral d'informations sur la technique. Ce panneau fournit des informations sur la technique et la capacité de votre organisation à la détecter.

Le panneau contient les informations suivantes :

Description MITRE : description officielle de la technique issue du framework MITRE ATT&CK.

Sous-techniques : toutes les sous-techniques associées à la technique. Le chip de couleur à côté de chaque ID indique le nombre de règles pour cette sous-technique spécifique.

Règles organisées : liste complète de toutes les règles associées à cette technique.

Sources de journaux : sources de journaux correspondant aux sources de données MITRE pour la technique qui ont envoyé des données de manière active au cours des 30 derniers jours.

Exporter les données

Cliquez sur Exporter pour télécharger la vue actuelle de la matrice sous forme de fichier JSON. Ce fichier est compatible avec l'outil officiel MITRE ATT&CK Navigator pour une analyse plus approfondie.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.