Halaman ini diterjemahkan oleh Cloud Translation API.

Memahami cakupan ancaman dengan matriks MITRE ATT&CK

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara menggunakan dasbor matriks MITRE ATT&CK di Google Security Operations. Matriks ini membantu Anda memahami postur keamanan organisasi Anda terhadap framework MITRE ATT&CK. Fitur ini juga membantu Anda menemukan celah dalam cakupan ancaman dan memprioritaskan tugas keamanan.

Memahami taktik dan teknik

Dalam framework MITRE ATT&CK, berikut adalah konsep dasar yang digunakan untuk mengategorikan perilaku penyerang.

Taktik: Tujuan tingkat tinggi yang ingin dicapai oleh penyerang. Misalnya, taktik umum mencakup Initial Access (masuk ke jaringan), Persistence (tetap berada di jaringan), dan Exfiltration (mencuri data).
Teknik: Metode spesifik yang digunakan untuk mencapai taktik. Misalnya, penyerang dapat menggunakan teknik Phishing untuk mendapatkan taktik Initial Access. Setiap taktik memiliki teknik berbeda yang dapat digunakan oleh musuh.
Sub-teknik: Sub-teknik memberikan deskripsi yang lebih spesifik tentang cara teknik dijalankan. Detailnya menjelaskan proses atau mekanisme untuk mencapai tujuan taktik. Misalnya, Spearphishing Attachment dan Spearphishing Link adalah sub-teknik dari teknik Phishing.

Taktik berikut ditampilkan dalam matriks MITRE ATT&CK:

Taktik MITRE ATT&CK	Deskripsi
Koleksi	Mengumpulkan data.
Perintah dan kontrol	Menghubungi sistem yang dikontrol.
Akses kredensial	Mencuri informasi login dan sandi.
Penghindaran pertahanan	Hindari deteksi.
Discovery	Pahami lingkungan Anda.
Eksekusi	Menjalankan kode berbahaya.
Pemindahan yang tidak sah	Mencuri data.
Dampak	Memanipulasi, mengganggu, atau menghancurkan sistem dan data.
Akses awal	Mendapatkan akses ke lingkungan Anda.
Pergerakan lateral	Bergerak di lingkungan Anda.
Persistensi	Mempertahankan posisi.
Eskalasi akses	Mendapatkan tingkat izin yang lebih tinggi.
Pengintaian	Mengumpulkan informasi untuk digunakan dalam operasi berbahaya di masa mendatang. Taktik ini ditampilkan dalam matriks hanya jika `PRE`platform dipilih dalam preferensi pengguna Anda.
Pengembangan resource	Menetapkan resource untuk mendukung operasi berbahaya. Taktik ini ditampilkan dalam matriks hanya jika platform `PRE` dipilih dalam preferensi pengguna Anda.

Kasus penggunaan umum

Bagian ini mencantumkan beberapa kasus penggunaan umum untuk menggunakan matriks MITRE ATT&CK.

Mengidentifikasi peluang deteksi baru

Tujuan: sebagai analis keamanan, Anda ingin meningkatkan postur keamanan organisasi Anda secara proaktif dengan memperluas cakupan aturan deteksi.
Tugas: temukan area tempat Anda memiliki data yang diperlukan untuk membuat deteksi baru, tetapi tidak memiliki aturan.
Langkah-langkah:
1. Buka Matriks MITRE ATT&CK.
2. Pindai matriks untuk kartu teknik yang menunjukkan jumlah aturan rendah atau nol.
3. Temukan kartu teknik yang menampilkan "0 aturan" tetapi mencantumkan jenis log yang tersedia.
4. Klik kartu untuk membuka panel detail teknik.
5. Tinjau daftar sumber log untuk mengonfirmasi bahwa sumber log tersebut adalah feed data bervolume tinggi yang andal.
Hasil: mengidentifikasi peluang deteksi bernilai tinggi. Anda tahu bahwa Anda berhasil menyerap data yang benar untuk mendeteksi teknik ini, dan kini Anda dapat melanjutkan dengan membuat aturan baru untuk menutup kesenjangan cakupan ini.

Menanggapi saran ancaman baru

Tujuan: Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan peringatan tentang ransomware baru yang menyerang industri Anda.
Tugas: sebagai engineer deteksi, Anda perlu mengetahui apakah aturan keamanan saat ini dapat mendeteksi taktik, teknik, dan prosedur (TTP) tertentu yang digunakan oleh ancaman baru ini.
Langkah-langkah:
1. Buka matriks MITRE ATT&CK.
2. Filter matriks untuk menandai teknik yang disebutkan dalam peringatan CISA (misalnya, T1486: Data Encrypted for Impact, T1059.001: PowerShell).
3. Amati matriks. Anda mendapati bahwa matriks menunjukkan bahwa PowerShell tercakup dengan baik, tetapi Data Encrypted for Impact adalah kesenjangan penting dengan "Tidak Ada Cakupan".
Hasil: Anda menemukan celah berprioritas tinggi dalam pertahanan Anda. Sekarang Anda dapat membuat aturan deteksi baru untuk mencakup perilaku ransomware.

Menyesuaikan dan meningkatkan kualitas deteksi yang ada

Tujuan: setelah insiden keamanan baru-baru ini, sebagai engineer keamanan, Anda perlu meningkatkan kualitas deteksi yang dipicu.
Tugas: Anda ingin melihat semua titik data untuk teknik tertentu. Hal ini membantu Anda memutuskan apakah aturan yang ada menggunakan sumber data dan logika terbaik.
Langkah-langkah:
1. Buka matriks, lalu klik teknik T1003: OS Credential Dumping.
2. Tampilan Detail menampilkan dua aturan untuk teknik ini.
3. Perhatikan bahwa kedua aturan menggunakan log command line yang lebih lama. Namun, widget sumber data menunjukkan bahwa alat EDR baru memberikan data dengan fidelitas yang lebih tinggi untuk teknik ini.
Hasil: Anda menemukan cara yang jelas untuk meningkatkan kualitas deteksi. Sekarang Anda dapat membuat aturan baru yang lebih andal menggunakan data EDR. Hal ini akan mengurangi positif palsu dan meningkatkan peluang untuk mendeteksi serangan dumping kredensial yang kompleks.

Sebelum memulai

Agar aturan kustom Anda muncul dalam matriks dan dihitung dalam cakupan ancaman, Anda harus memetakannya ke satu atau beberapa teknik MITRE ATT&CK.

Untuk melakukannya, tambahkan kunci technique ke bagian metadata aturan. Nilai harus berupa ID teknik MITRE ATT&CK yang valid atau beberapa ID sebagai string yang dipisahkan koma.

Contoh: metadata: technique="T1548,T1134.001"

Aturan baru akan muncul dalam matriks dalam beberapa menit.

Mengakses matriks MITRE ATT&CK

Untuk mengakses matriks MITRE ATT&CK, lakukan hal berikut:

Login ke Google SecOps.
Dari menu navigasi, klik Deteksi > Aturan & Deteksi.
Buka tab MITRE ATT&CK Matrix.

Matriks MITRE ATT&CK akan muncul.

Menggunakan matriks MITRE ATT&CK

Matriks menampilkan taktik MITRE ATT&CK sebagai kolom dan teknik sebagai kartu dalam kolom tersebut. Setiap kartu teknik diberi kode warna untuk menunjukkan status dan kedalaman cakupan deteksi Anda saat ini untuk teknik tersebut.

Di kartu teknik, Anda dapat melihat hal berikut:

Indikator sub-teknik: indikator kecil berwarna mewakili sub-teknik terkait. Warna setiap indikator sesuai dengan jumlah aturan untuk sub-teknik tersebut. Arahkan kursor ke indikator untuk melihat namanya.

Tombol sub-teknik: untuk menyederhanakan matriks utama dan mengurangi gangguan visual, buka menu Opsi tampilan dan hapus centang pada kotak Tampilkan sub-teknik.

Jumlah jenis log: menampilkan jenis log yang terkait dengan teknik ini. Jika teknik memiliki nol aturan, kartu teknik dapat menampilkan jumlah jenis log terkait (misalnya, "7 jenis log"). Hal ini menunjukkan peluang deteksi, yang menunjukkan bahwa Anda memiliki data yang diperlukan untuk membuat aturan bagi teknik tersebut.

Menyempurnakan perhitungan cakupan

Untuk menyaring penghitungan cakupan, gunakan daftar untuk Jenis aturan, Status aktif, dan Status pemberitahuan untuk menyaring penghitungan cakupan Anda.

Menelusuri teknik

Gunakan kotak penelusuran untuk menemukan teknik tertentu menurut nama (misalnya, Windows Command Shell) atau ID (misalnya, T1059.003). Untuk nama aturan, jenis log, atau sumber data MITRE, gunakan menu Telusuri menurut untuk mempersempit hasil.

Melihat detail teknik dan sumber log

Klik kartu teknik apa pun untuk membuka panel samping detail teknik. Panel ini memberikan informasi tentang teknik dan kemampuan organisasi Anda untuk mendeteksinya.

Panel ini berisi informasi berikut:

Deskripsi MITRE: deskripsi resmi teknik dari framework MITRE ATT&CK.

Sub-teknik: semua sub-teknik yang terkait dengan teknik. Chip berwarna di samping setiap ID menunjukkan jumlah aturan untuk sub-teknik tertentu tersebut.

Aturan pilihan: daftar lengkap semua aturan terkait untuk teknik tersebut.

Sumber log: sumber log yang sesuai dengan sumber data MITRE untuk teknik yang telah aktif mengirim data dalam 30 hari terakhir.

Mengekspor data

Klik Ekspor untuk mendownload tampilan matriks saat ini sebagai file JSON. File ini kompatibel dengan alat navigator MITRE ATT&CK resmi untuk analisis lebih lanjut.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.