Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הסבר על כיסוי האיומים באמצעות מטריצת MITRE ATT&CK

נתמך ב:

Google secops SIEM

במסמך הזה מוסבר איך להשתמש בלוח הבקרה של מטריצת MITRE ATT&CK ב-Google Security Operations. הטבלה עוזרת להבין את מצב האבטחה של הארגון בהשוואה למסגרת MITRE ATT&CK. הוא גם עוזר לכם לזהות פערים בכיסוי האיומים ולתעדף את משימות האבטחה.

הסבר על טקטיקות וטכניקות

במסגרת MITRE ATT&CK, אלה המושגים הבסיסיים שמשמשים לסיווג התנהגות של יריבים.

טקטיקה: מטרה ברמה גבוהה שהתוקף מנסה להשיג. לדוגמה, טקטיקות נפוצות כוללות Initial Access (פריצה לרשת), Persistence (הישארות ברשת) ו-Exfiltration (גניבת נתונים).
טכניקה: השיטה הספציפית שבה משתמשים כדי להשיג טקטיקה. לדוגמה, תוקף יכול להשתמש בטכניקה Phishing כדי להשיג טקטיקה Initial Access. לכל טקטיקה יש טכניקות שונות שגורם עוין יכול להשתמש בהן.
טכניקת משנה: טכניקת משנה מספקת תיאור ספציפי יותר של אופן הביצוע של טכניקה. הוא מתאר בפירוט את התהליך או המנגנון להשגת היעד של הטקטיקה. לדוגמה, Spearphishing Attachment ו-Spearphishing Link הן טכניקות משנה של הטכניקה Phishing.

הטקטיקות הבאות מוצגות במטריצה של MITRE ATT&CK:

טקטיקה של MITRE ATT&CK	תיאור
אוסף	איסוף נתונים.
שליטה ופקודות	יצירת קשר עם מערכות מבוקרות.
גישה לפרטי כניסה	גניבת פרטי התחברות וסיסמאות.
התחמקות מאמצעי הגנה	למנוע זיהוי.
Discovery	מגדירים את הסביבה.
הרצה	להריץ קוד זדוני.
זליגת נתונים	גניבת נתונים.
השפעה	לשנות, לשבש או להרוס מערכות ונתונים.
גישה ראשונית	קבלת גישה לסביבה שלכם.
תנועה רוחבית	לזוז בסביבה.
התמדה	לשמור על דריסת רגל.
הסלמת הרשאות (privilege escalation)	לקבל הרשאות ברמה גבוהה יותר.
סיור מקדים	איסוף מידע לשימוש בפעולות זדוניות עתידיות. הטקטיקה הזו מוצגת במטריצה רק כשבוחרים את `PRE`הפלטפורמה בהעדפות המשתמש.
פיתוח משאבים	יצירת משאבים לתמיכה בפעולות זדוניות. הטקטיקה הזו מוצגת במטריצה רק כשפלטפורמת `PRE` נבחרת בהעדפות המשתמש.

תרחישים נפוצים לדוגמה

בקטע הזה מפורטים כמה תרחישים נפוצים לשימוש במטריצת MITRE ATT&CK.

זיהוי הזדמנויות חדשות לזיהוי

המטרה: כחלק מתפקידך כאנליסט אבטחה, אתה רוצה לשפר באופן יזום את מצב האבטחה של הארגון על ידי הרחבת הכיסוי של כללי הזיהוי.
משימה: למצוא אזורים שבהם יש לכם את הנתונים הדרושים לבניית זיהויים חדשים, אבל לא מוגדרים כללים.
שלבים:
1. פותחים את מטריצת MITRE ATT&CK.
2. סורקים את המטריצה כדי למצוא כרטיסי טכניקות שבהם מספר הכללים נמוך או אפס.
3. מחפשים כרטיס של טכניקה שמוצג בו הערך '0 כללים' אבל מפורטים בו סוגי היומנים הזמינים.
4. לוחצים על הכרטיס כדי לפתוח את חלונית הפרטים של הטכניקה.
5. בודקים את רשימת מקורות היומן כדי לוודא שמדובר בפידים מהימנים של נתונים בכמות גדולה.
תוצאה: זיהוי הזדמנות לזיהוי עם ערך גבוה. אתם יודעים שאתם מטמיעים בהצלחה את הנתונים הנכונים כדי לזהות את הטכניקה הזו, ועכשיו אתם יכולים להמשיך וליצור כלל חדש כדי לסגור את הפער הזה בכיסוי.

תגובה להמלצה חדשה בנושא איומים

המטרה: הסוכנות לאבטחת סייבר ותשתיות (CISA) מפרסמת התראה על תוכנת כופר חדשה שתוקפת את התעשייה שלכם.
משימה: כמהנדסי זיהוי, אתם צריכים לדעת אם כללי האבטחה הנוכחיים שלכם יכולים לזהות את הטקטיקות, הטכניקות והנהלים (TTP) הספציפיים שבהם נעשה שימוש באיום החדש הזה.
שלבים:
1. פותחים את מטריצת MITRE ATT&CK.
2. מסננים את המטריצה כדי להדגיש את הטכניקות שמוזכרות בהתראה של CISA (לדוגמה, T1486: Data Encrypted for Impact,‏ T1059.001: PowerShell).
3. מתבוננים במטריצה. רואים שהמטריצה מראה שהאזור PowerShell מכוסה היטב, אבל האזור Data Encrypted for Impact הוא פער קריטי עם הכיתוב 'אין כיסוי'.
תוצאה: מצאתם פער בעדיפות גבוהה בהגנות שלכם. עכשיו אתם יכולים ליצור כלל זיהוי חדש שיכסה את התנהגות תוכנת הכופר.

שיפור הזיהויים הקיימים

המטרה: אחרי אירוע אבטחה שהתרחש לאחרונה, מהנדס אבטחה צריך לשפר את איכות הזיהויים שהופעלו.
משימה: רוצים לראות את כל נקודות הנתונים של טכניקה ספציפית. כך תוכלו להחליט אם הכללים הקיימים שלכם משתמשים במקורות הנתונים ובלוגיקה הכי טובים.
שלבים:
1. פותחים את המטריצה ולוחצים על הטכניקה T1003: OS Credential Dumping.
2. בתצוגה פרטים מוצגים שני הכללים של הטכניקה הזו.
3. שימו לב ששני הכללים משתמשים ביומנים ישנים של שורת הפקודה. עם זאת, בווידג'ט של מקור הנתונים אפשר לראות שכלי ה-EDR החדש מספק נתונים ברמת דיוק גבוהה יותר לגבי הטכניקה הזו.
התוצאה: אתם מוצאים דרך ברורה לשפר את איכות הזיהוי. עכשיו אפשר ליצור כלל חדש וחזק יותר באמצעות נתוני EDR. כך אפשר להקטין את מספר התוצאות החיוביות הכוזבות ולהגדיל את הסיכוי לזהות מתקפות מורכבות של השלכת פרטי כניסה.

לפני שמתחילים

כדי שהכללים המותאמים אישית יופיעו במטריצה וייכללו בכיסוי האיומים, צריך למפות אותם לטכניקה אחת או יותר של MITRE ATT&CK.

כדי לעשות את זה, מוסיפים מפתח technique לקטע metadata של הכלל. הערך חייב להיות מזהה טכניקה תקף של MITRE ATT&CK או כמה מזהים כמחרוזת מופרדת בפסיקים.

דוגמה: metadata: technique="T1548,T1134.001"

הכללים החדשים יופיעו במטריצה תוך כמה דקות.

גישה למטריצה של MITRE ATT&CK

כדי לגשת למטריצה של MITRE ATT&CK:

מתחברים ל-Google SecOps.
בתפריט הניווט, לוחצים על זיהוי > כללים וזיהויים.
עוברים לכרטיסייה MITRE ATT&CK Matrix.

מופיעה מטריצת MITRE ATT&CK.

שימוש במטריצת MITRE ATT&CK

במטריצה מוצגים טקטיקות של MITRE ATT&CK כעמודות וטכניקות ככרטיסים בתוך העמודות האלה. כל כרטיס טכניקה מקודד בצבע כדי לציין את הסטטוס הנוכחי ואת עומק כיסוי הזיהוי שלכם לטכניקה הזו.

בכרטיסי הטכניקות אפשר לראות את הפרטים הבאים:

אינדיקטורים של טכניקות משנה: האינדיקטורים הקטנים והצבעוניים מייצגים את טכניקות המשנה המשויכות. הצבע של כל אינדיקטור תואם למספר הכללים של טכניקת המשנה הזו. מעבירים את מצביע העכבר מעל אינדיקטור כדי לראות את השם שלו.

החלפת טכניקות משנה: כדי לפשט את המטריצה הראשית ולהפחית את הרעש החזותי, פותחים את התפריט אפשרויות תצוגה ומבטלים את הסימון בתיבת הסימון הצגת טכניקות משנה.

מספר סוגי היומנים: מוצגים סוגי היומנים שמשויכים לטכניקה. אם לטכניקה אין כללים, בכרטיס הטכניקה יכול להופיע מספר סוגי היומנים המשויכים (לדוגמה, '7 סוגי יומנים'). המשמעות היא שיש הזדמנות לזיהוי, ושיש לכם את הנתונים הדרושים ליצירת כללים לטכניקה הזו.

שיפור החישוב של הכיסוי

כדי לדייק את חישוב הכיסוי, אפשר להשתמש ברשימות של סוג הכלל, סטטוס פעיל וסטטוס ההתראות.

חיפוש טכניקות

אפשר להשתמש בסרגל החיפוש כדי למצוא טכניקה ספציפית לפי שם (לדוגמה, Windows Command Shell) או מזהה (לדוגמה, T1059.003). כדי לחפש שמות של כללים, סוגי יומנים או מקורות נתונים של MITRE, משתמשים בתפריט חיפוש לפי כדי לצמצם את התוצאות.

הצגת פרטי הטכניקה ומקורות היומן

לוחצים על כרטיס של טכניקה כלשהי כדי לפתוח את החלונית הצדדית עם פרטי הטכניקה. בחלונית הזו מופיע מידע על הטכניקה ועל היכולת של הארגון שלכם לזהות אותה.

החלונית מכילה את המידע הבא:

תיאור מ-MITRE: התיאור הרשמי של הטכניקה מתוך מסגרת MITRE ATT&CK.

טכניקות משנה: כל טכניקות המשנה שמשויכות לטכניקה. הצ'יפ הצבעוני שליד כל מזהה מציין את מספר הכללים לטכניקת המשנה הספציפית הזו.

כללים שנאספו: רשימה מקיפה של כל הכללים שמשויכים לטכניקה הזו.

מקורות יומנים: מקורות יומנים שתואמים למקורות הנתונים של MITRE לטכניקה, וששלחו נתונים באופן פעיל ב-30 הימים האחרונים.

ייצוא נתונים

לוחצים על ייצוא כדי להוריד את תצוגת המטריצה הנוכחית כקובץ JSON. הקובץ הזה תואם לכלי הרשמי MITRE ATT&CK Navigator לניתוח נוסף.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.