Surveiller la couverture des menaces (MITRE)
Ce document explique comment utiliser le tableau de bord de la matrice MITRE ATT&CK dans Google Security Operations. La matrice vous aide à comprendre la stratégie de sécurité de votre organisation par rapport au framework MITRE ATT&CK. Elle vous permet également d'identifier les lacunes dans votre couverture des menaces et de hiérarchiser vos tâches de sécurité.
Comprendre les tactiques et les techniques
Dans le framework MITRE ATT&CK, les concepts fondamentaux suivants sont utilisés pour classer le comportement des adversaires.
Tactique : objectif de haut niveau qu'un pirate informatique tente d'atteindre. Par exemple, les tactiques courantes incluent
Initial Access(accès initial au réseau),Persistence(persistance dans le réseau) etExfiltration(vol de données).Technique : méthode spécifique utilisée pour atteindre une tactique. Par exemple, un pirate informatique peut utiliser la technique
Phishingpour obtenir la tactiqueInitial Access. Chaque tactique comporte différentes techniques qu'un adversaire peut utiliser.Sous-technique : une sous-technique fournit une description plus spécifique de l'exécution d'une technique. Elle détaille le processus ou le mécanisme permettant d'atteindre l'objectif d'une tactique. Par exemple,
Spearphishing Attachment(pièce jointe d'hameçonnage ciblé) etSpearphishing Link(lien d'hameçonnage ciblé) sont des sous-techniques de la techniquePhishing.
Les tactiques suivantes sont affichées dans la matrice MITRE ATT&CK :
| Tactique MITRE ATT&CK | Description |
|---|---|
| Collection | Recueillir des données |
| Commande et contrôle | Contacter les systèmes contrôlés |
| Accès aux identifiants | Voler les informations de connexion et les mots de passe |
| Éviction de défense | Éviter la détection |
| Discovery | Déterminer votre environnement |
| Exécution | Exécuter du code malveillant |
| Exfiltration | Voler des données |
| Impact | Manipuler, interrompre ou détruire des systèmes et des données |
| Accès initial | Accéder à votre environnement |
| Mouvement latéral | Se déplacer dans votre environnement |
| Persistance | Maintenir une position |
| Élévation des privilèges | Obtenir des autorisations de niveau supérieur |
| Reconnaissance | Recueillir des informations à utiliser dans de futures opérations malveillantes
Cette tactique ne s'affiche dans la matrice que lorsque la plate-forme PRE est sélectionnée dans vos préférences utilisateur.
|
| Développement de ressources | Établir des ressources pour soutenir les opérations malveillantes
Cette tactique ne s'affiche dans la matrice que lorsque la plate-forme PRE est sélectionnée dans vos préférences utilisateur.
|
Cas d'utilisation courants
Cette section répertorie quelques cas d'utilisation courants de la matrice MITRE ATT&CK.
Identifier de nouvelles opportunités de détection
Objectif : en tant qu'analyste de la sécurité, vous souhaitez améliorer de manière proactive la stratégie de sécurité de votre organisation en étendant la couverture des règles de détection.
Tâche : identifiez les zones dans lesquelles vous disposez des données nécessaires pour créer de nouvelles détections, mais où aucune règle n'est en place.
Étapes :
Ouvrez la matrice MITRE ATT&CK.
Recherchez dans la matrice les fiches de techniques qui affichent un nombre de règles faible ou nul.
Recherchez une fiche de technique qui affiche "0 règle", mais qui répertorie les types de journaux disponibles.
Cliquez sur la fiche pour ouvrir le panneau de détails de la technique.
Consultez la liste des sources de journaux pour vérifier qu'il s'agit de flux de données fiables et à volume élevé.
Résultat : identifiez une opportunité de détection à forte valeur ajoutée. Vous savez que vous ingérez correctement les données appropriées pour détecter cette technique. Vous pouvez maintenant créer une règle pour combler cette lacune de couverture.
Répondre à un nouvel avis de menace
Objectif : la Cybersecurity and Infrastructure Security Agency (CISA) émet une alerte concernant un nouveau ransomware qui attaque votre secteur.
Tâche : en tant qu'ingénieur en détection, vous devez savoir si vos règles de sécurité actuelles peuvent détecter les tactiques, techniques et procédures (TTP) spécifiques utilisées par cette nouvelle menace.
Étapes :
Ouvrez la matrice MITRE ATT&CK.
Filtrez la matrice pour mettre en évidence les techniques mentionnées dans l'alerte de la CISA (par exemple,
T1486: Data Encrypted for Impact,T1059.001: PowerShell).Observez la matrice. Vous constatez que la matrice indique que
PowerShellest bien couvert, mais queData Encrypted for Impactest une lacune critique avec "No Coverage" (Aucune couverture).
Résultat : vous identifiez une lacune de haute priorité dans vos défenses. Vous pouvez maintenant créer une règle de détection pour couvrir le comportement du ransomware.
Ajuster et améliorer les détections existantes
Objectif : après un incident de sécurité récent, en tant qu'ingénieur en sécurité, vous devez améliorer la qualité des détections qui ont été déclenchées.
Tâche : vous souhaitez afficher tous les points de données pour une technique spécifique. Cela vous aide à déterminer si vos règles existantes utilisent les meilleures sources de données et la meilleure logique.
Étapes :
Ouvrez la matrice et cliquez sur la technique
T1003: OS Credential Dumping.La vue Details (Détails) affiche les deux règles de cette technique.
Notez que les deux règles utilisent des journaux de ligne de commande plus anciens. Toutefois, le widget de source de données indique que le nouvel outil EDR fournit des données de plus haute fidélité pour cette technique.
Résultat : vous trouvez un moyen clair d'améliorer la qualité de la détection. Vous pouvez maintenant créer une règle plus robuste à l'aide des données EDR. Cela réduit le nombre de faux positifs et augmente les chances de détecter les attaques complexes de vidage d'identifiants.
Avant de commencer
Pour que vos règles personnalisées apparaissent dans la matrice et soient prises en compte dans la couverture des menaces, vous devez les mapper à une ou plusieurs techniques MITRE ATT&CK.
Pour ce faire, ajoutez une clé technique à la section metadata de la règle. La valeur doit être un ID de technique MITRE ATT&CK valide ou plusieurs ID sous forme de chaîne séparée par une virgule.
Exemple : metadata: technique="T1548,T1134.001"
Les nouvelles règles apparaissent dans la matrice en quelques minutes.
Accéder à la matrice MITRE ATT&CK
Pour accéder à la matrice MITRE ATT&CK, procédez comme suit :
Dans le menu de navigation, cliquez sur Detection > Rules & Detections (Détection > Règles et détections).
Accédez à l'onglet MITRE ATT&CK Matrix (Matrice MITRE ATT&CK).
La matrice MITRE ATT&CK s'affiche.
Utiliser la matrice MITRE ATT&CK
La matrice affiche les tactiques MITRE ATT&CK sous forme de colonnes et les techniques sous forme de fiches dans ces colonnes. Chaque fiche de technique est codée par couleur pour indiquer l'état actuel et la profondeur de votre couverture de détection pour cette technique.
Sur les fiches de techniques, vous pouvez afficher les éléments suivants :
Indicateurs de sous-technique : les petits indicateurs colorés représentent les sous-techniques associées. La couleur de chaque indicateur correspond au nombre de règles pour cette sous-technique. Placez le pointeur sur un indicateur pour afficher son nom.
Bouton bascule de sous-technique : pour simplifier la matrice principale et réduire le bruit visuel, ouvrez le menu View options (Options d'affichage) et décochez la case Display sub-techniques (Afficher les sous-techniques).
Nombre de types de journaux : affiche les types de journaux associés à la technique. Si une technique ne comporte aucune règle, la fiche de technique peut afficher un nombre de types de journaux associés (par exemple, "7 types de journaux"). Cela indique une opportunité de détection, car vous disposez des données nécessaires pour créer des règles pour cette technique.
Affiner le calcul de la couverture
Pour affiner le calcul de la couverture, utilisez les listes Rule type (Type de règle), Live status (État en direct) et Alerting status (État des alertes).
Rechercher des techniques
Utilisez la barre de recherche pour trouver une technique spécifique par nom (par exemple, Windows Command Shell) ou par ID (par exemple, T1059.003). Pour les noms de règles, les types de journaux ou les sources de données MITRE, utilisez le menu Search by (Rechercher par) pour affiner les résultats.
Afficher les détails des techniques et les sources de journaux
Cliquez sur une fiche de technique pour ouvrir le panneau latéral des détails de la technique. Ce panneau fournit des informations sur la technique et sur la capacité de votre organisation à la détecter.
Le panneau contient les informations suivantes :
Description MITRE : description officielle de la technique issue du framework MITRE ATT&CK.
Sous-techniques : toutes les sous-techniques associées à la technique. Le jeton coloré à côté de chaque ID indique le nombre de règles pour cette sous-technique spécifique.
Règles organisées : liste complète de toutes les règles associées à cette technique.
Sources de journaux : sources de journaux qui correspondent aux sources de données MITRE pour la technique qui ont envoyé activement des données au cours des 30 derniers jours.
Exporter les données
Cliquez sur Export (Exporter) pour télécharger la vue actuelle de la matrice sous forme de fichier JSON. Ce fichier est compatible avec l'outil officiel MITRE ATT&CK Navigator pour une analyse plus approfondie.
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.