Kami telah mengatur ulang struktur navigasi agar selaras langsung dengan alur kerja operasional Anda. Lihat catatan rilis Google SecOps untuk mengetahui informasi selengkapnya.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Memantau cakupan ancaman (MITRE)

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menggunakan dasbor matriks MITRE ATT&CK di Google Security Operations. Matriks ini membantu Anda memahami postur keamanan organisasi Anda terhadap framework MITRE ATT&CK. Matriks ini juga membantu Anda menemukan celah dalam cakupan ancaman dan memprioritaskan tugas keamanan Anda.

Memahami taktik dan teknik

Dalam framework MITRE ATT&CK, berikut adalah konsep dasar yang digunakan untuk mengategorikan perilaku musuh.

Taktik: Tujuan tingkat tinggi yang ingin dicapai penyerang. Misalnya, taktik umum mencakup Initial Access (masuk ke jaringan), Persistence (tetap berada di jaringan), dan Exfiltration (mencuri data).
Teknik: Metode spesifik yang digunakan untuk mencapai taktik. Misalnya, penyerang dapat menggunakan teknik Phishing untuk mendapatkan taktik Initial Access. Setiap taktik memiliki teknik yang berbeda yang dapat digunakan musuh.
Sub-teknik: Sub-teknik memberikan deskripsi yang lebih spesifik tentang cara teknik dieksekusi. Sub-teknik ini menjelaskan proses atau mekanisme untuk mencapai tujuan taktik. Misalnya, Spearphishing Attachment dan Spearphishing Link adalah sub-teknik dari teknik Phishing.

Taktik berikut ditampilkan dalam matriks MITRE ATT&CK:

Taktik MITRE ATT&CK	Deskripsi
Koleksi	Mengumpulkan data.
Perintah dan kontrol	Menghubungi sistem yang dikontrol.
Akses kredensial	Mencuri informasi login dan sandi.
Penghindaran pertahanan	Menghindari deteksi.
Discovery	Mengetahui lingkungan Anda.
Eksekusi	Menjalankan kode berbahaya.
Pemindahan yang tidak sah	Mencuri data.
Dampak	Memanipulasi, mengganggu, atau menghancurkan sistem dan data.
Akses awal	Mendapatkan akses ke lingkungan Anda.
Pergerakan lateral	Bergerak melalui lingkungan Anda.
Persistensi	Mempertahankan pijakan.
Eskalasi akses	Mendapatkan izin tingkat yang lebih tinggi.
Pengintaian	Mengumpulkan informasi untuk digunakan dalam operasi berbahaya di masa mendatang. Taktik ini hanya ditampilkan dalam matriks jika platform `PRE` dipilih dalam preferensi pengguna Anda.
Pengembangan resource	Membuat resource untuk mendukung operasi berbahaya. Taktik ini hanya ditampilkan dalam matriks jika platform `PRE` dipilih dalam preferensi pengguna Anda.

Kasus penggunaan umum

Bagian ini mencantumkan beberapa kasus penggunaan umum untuk menggunakan matriks MITRE ATT&CK.

Mengidentifikasi peluang deteksi baru

Tujuan: sebagai analis keamanan, Anda ingin meningkatkan postur keamanan organisasi Anda secara proaktif dengan memperluas cakupan aturan deteksi.
Tugas: menemukan area tempat Anda memiliki data yang diperlukan untuk membuat deteksi baru, tetapi tidak memiliki aturan.
Langkah-langkah:
1. Buka Matriks MITRE ATT&CK.
2. Pindai matriks untuk kartu teknik yang menampilkan jumlah aturan rendah atau nol.
3. Temukan kartu teknik yang menampilkan "0 aturan", tetapi mencantumkan jenis log yang tersedia.
4. Klik kartu untuk membuka panel detail teknik.
5. Tinjau daftar sumber log untuk mengonfirmasi bahwa sumber log tersebut adalah feed data yang andal dan bervolume tinggi.
Hasil: mengidentifikasi peluang deteksi bernilai tinggi. Anda tahu bahwa Anda berhasil menyerap data yang benar untuk mendeteksi teknik ini, dan kini Anda dapat melanjutkan dengan membuat aturan baru untuk menutup celah cakupan ini.

Menanggapi saran ancaman baru

Tujuan: Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan peringatan tentang ransomware baru yang menyerang industri Anda.
Tugas: sebagai engineer deteksi, Anda harus mengetahui apakah aturan keamanan Anda saat ini dapat mendeteksi taktik, teknik, dan prosedur (TTP) tertentu yang digunakan oleh ancaman baru ini.
Langkah-langkah:
1. Buka matriks MITRE ATT&CK.
2. Filter matriks untuk menandai teknik yang disebutkan dalam peringatan CISA (misalnya, T1486: Data Encrypted for Impact, T1059.001: PowerShell).
3. Amati matriks. Anda menemukan bahwa matriks menunjukkan bahwa PowerShell tercakup dengan baik, tetapi Data Encrypted for Impact adalah celah penting dengan "No Coverage".
Hasil: Anda menemukan celah prioritas tinggi dalam pertahanan Anda. Anda kini dapat membuat aturan deteksi baru untuk mencakup perilaku ransomware.

Menyesuaikan dan meningkatkan kualitas deteksi yang ada

Tujuan: setelah insiden keamanan baru-baru ini, sebagai engineer keamanan, Anda harus meningkatkan kualitas deteksi yang dipicu.
Tugas: Anda ingin melihat semua titik data untuk teknik tertentu. Hal ini membantu Anda memutuskan apakah aturan yang ada menggunakan sumber data dan logika terbaik.
Langkah-langkah:
1. Buka matriks dan klik teknik T1003: OS Credential Dumping.
2. Tampilan Details menampilkan dua aturan untuk teknik ini.
3. Perhatikan bahwa kedua aturan menggunakan log command line yang lebih lama. Namun, widget sumber data menunjukkan bahwa alat EDR baru memberikan data dengan fidelitas yang lebih tinggi untuk teknik ini.
Hasil: Anda menemukan cara yang jelas untuk meningkatkan kualitas deteksi. Anda kini dapat membuat aturan baru yang lebih kuat menggunakan data EDR. Hal ini akan mengurangi positif palsu dan meningkatkan peluang untuk menangkap serangan credential dumping yang kompleks.

Sebelum memulai

Agar aturan kustom Anda muncul dalam matriks dan dihitung dalam cakupan ancaman, Anda harus memetakannya ke satu atau beberapa teknik MITRE ATT&CK.

Untuk melakukannya, tambahkan kunci technique ke bagian metadata aturan. Nilainya harus berupa ID teknik MITRE ATT&CK yang valid atau beberapa ID sebagai string yang dipisahkan koma.

Contoh: metadata: technique="T1548,T1134.001"

Aturan baru akan muncul dalam matriks dalam beberapa menit.

Mengakses matriks MITRE ATT&CK

Untuk mengakses matriks MITRE ATT&CK, lakukan hal berikut:

Login ke Google SecOps.
Dari menu navigasi, klik Detection > Rules & Detections.
Buka tab MITRE ATT&CK Matrix.

Matriks MITRE ATT&CK akan muncul.

Menggunakan matriks MITRE ATT&CK

Matriks menampilkan taktik MITRE ATT&CK sebagai kolom dan teknik sebagai kartu dalam kolom tersebut. Setiap kartu teknik diberi kode warna untuk menunjukkan status dan kedalaman cakupan deteksi Anda saat ini untuk teknik tersebut.

Di kartu teknik, Anda dapat melihat hal berikut:

Indikator sub-teknik: indikator kecil berwarna mewakili sub-teknik terkait. Warna setiap indikator sesuai dengan jumlah aturan untuk sub-teknik tersebut. Arahkan kursor ke indikator untuk melihat namanya.

Tombol sub-teknik: untuk menyederhanakan matriks utama dan mengurangi gangguan visual, buka menu View options dan hapus centang pada kotak Display sub-techniques checkbox.

Jumlah jenis log: menampilkan jenis log yang terkait dengan teknik. Jika teknik tidak memiliki aturan, kartu teknik dapat menampilkan jumlah jenis log terkait (misalnya, "7 log types"). Hal ini menunjukkan peluang deteksi, yang menunjukkan bahwa Anda memiliki data yang diperlukan untuk membuat aturan untuk teknik tersebut.

Menyempurnakan perhitungan cakupan

Untuk menyempurnakan perhitungan cakupan, gunakan daftar untuk Rule type, Live status, dan Alerting status untuk menyempurnakan perhitungan cakupan Anda.

Menelusuri teknik

Gunakan kotak penelusuran untuk menemukan teknik tertentu berdasarkan nama (misalnya, Windows Command Shell) atau ID (misalnya, T1059.003). Untuk nama aturan, jenis log, atau sumber data MITRE, gunakan menu Search by untuk mempersempit hasil.

Melihat detail teknik dan sumber log

Klik kartu teknik mana pun untuk membuka panel samping detail teknik. Panel ini memberikan informasi tentang teknik dan kemampuan organisasi Anda untuk mendeteksinya.

Panel ini berisi informasi berikut:

Deskripsi MITRE: deskripsi resmi teknik dari framework MITRE ATT&CK.

Sub-teknik: semua sub-teknik yang terkait dengan teknik. Chip berwarna di samping setiap ID menunjukkan jumlah aturan untuk sub-teknik tertentu.

Aturan yang dikurasi: daftar lengkap semua aturan terkait untuk teknik tersebut.

Sumber log: sumber log yang sesuai dengan sumber data MITRE untuk teknik yang telah aktif mengirim data dalam 30 hari terakhir.

Mengekspor data

Klik Export untuk mendownload tampilan matriks saat ini sebagai file JSON. File ini kompatibel dengan alat MITRE ATT&CK navigator resmi untuk analisis lebih lanjut.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.