Comprendere la copertura delle minacce con la matrice MITRE ATT&CK
Questo documento descrive come utilizzare il dashboard della matrice MITRE ATT&CK in Google Security Operations. La matrice ti aiuta a comprendere la postura di sicurezza della tua organizzazione rispetto al framework MITRE ATT&CK. Inoltre, ti aiuta a trovare lacune nella copertura delle minacce e a dare la priorità alle attività di sicurezza.
Comprendere tattiche e tecniche
Nel framework MITRE ATT&CK, i seguenti sono i concetti fondamentali utilizzati per classificare il comportamento dell'avversario.
Tattica: obiettivo di alto livello che un malintenzionato sta cercando di raggiungere. Ad esempio, le tattiche comuni includono
Initial Access(accesso alla rete),Persistence(permanenza nella rete) eExfiltration(furto di dati).Tecnica: il metodo specifico utilizzato per raggiungere una tattica. Ad esempio, un malintenzionato potrebbe utilizzare la tecnica
Phishingper ottenere la tatticaInitial Access. Ogni tattica ha tecniche diverse che un avversario potrebbe utilizzare.Sotto-tecnica: una sotto-tecnica fornisce una descrizione più specifica di come viene eseguita una tecnica. Descrive in dettaglio il processo o il meccanismo per raggiungere l'obiettivo di una tattica. Ad esempio,
Spearphishing AttachmenteSpearphishing Linksono sottotecniche della tecnicaPhishing.
Nella matrice MITRE ATT&CK vengono visualizzate le seguenti tattiche:
| Tattica MITRE ATT&CK | Descrizione |
|---|---|
| Raccolta | Raccogli i dati. |
| Comando e controllo | Sistemi controllati dal contatto. |
| Accesso alle credenziali | Sottrarre le informazioni di accesso e la password. |
| Evasione della difesa | Evita il rilevamento. |
| Discovery | Scopri il tuo ambiente. |
| Esecuzione | Eseguire codice dannoso. |
| Esfiltrazione | Rubare i dati. |
| Impatto | Manipolare, interrompere o distruggere sistemi e dati. |
| Accesso iniziale | Accedere al tuo ambiente. |
| Movimento laterale | Spostati nell'ambiente. |
| Persistenza | Mantenere il punto d'appoggio. |
| Escalation dei privilegi | Ottenere autorizzazioni di livello superiore. |
| Ricognizione | Raccogliere informazioni da utilizzare in future operazioni dannose.
Questa tattica viene visualizzata nella matrice solo quando la piattaforma PRE
è selezionata nelle preferenze utente.
|
| Sviluppo delle risorse | Stabilire risorse per supportare operazioni dannose.
Questa tattica viene visualizzata nella matrice solo quando la piattaforma PRE è selezionata nelle preferenze utente.
|
Casi d'uso comuni
Questa sezione elenca alcuni casi d'uso comuni per l'utilizzo della matrice MITRE ATT&CK.
Identificare nuove opportunità di rilevamento
Obiettivo: in qualità di analista della sicurezza, vuoi migliorare in modo proattivo la security posture della tua organizzazione espandendo la copertura delle regole di rilevamento.
Attività: trova le aree in cui disponi dei dati necessari per creare nuovi rilevamenti, ma non hai regole in vigore.
Passaggi:
Apri la matrice MITRE ATT&CK.
Scansiona la matrice per individuare le schede delle tecniche che mostrano un conteggio delle regole basso o pari a zero.
Trova una scheda tecnica che mostri "0 regole" ma elenchi i tipi di log disponibili.
Fai clic sulla scheda per aprire il riquadro dei dettagli della tecnica.
Esamina l'elenco delle origini log per verificare che si tratti di feed di dati affidabili e ad alto volume.
Risultato: identifica un'opportunità di rilevamento di alto valore. Sai di inserire correttamente i dati per rilevare questa tecnica e ora puoi procedere con la creazione di una nuova regola per colmare questa lacuna di copertura.
Rispondere a un nuovo avviso sulle minacce
Obiettivo: la Cybersecurity and Infrastructure Security Agency (CISA) emette un avviso relativo a un nuovo ransomware che attacca il tuo settore.
Attività: in qualità di ingegnere del rilevamento, devi sapere se le tue attuali regole di sicurezza sono in grado di rilevare le tattiche, le tecniche e le procedure (TTP) specifiche utilizzate da questa nuova minaccia.
Passaggi:
Apri la matrice MITRE ATT&CK.
Filtra la matrice per evidenziare le tecniche menzionate nell'avviso CISA (ad esempio,
T1486: Data Encrypted for Impact,T1059.001: PowerShell).Osserva la matrice. Dalla matrice risulta che
PowerShellè ben coperto, maData Encrypted for Impactè una lacuna critica con "Nessuna copertura".
Risultato: trovi una lacuna ad alta priorità nelle tue difese. Ora puoi creare una nuova regola di rilevamento per coprire il comportamento del ransomware.
Ottimizzare e migliorare i rilevamenti esistenti
Obiettivo: in seguito a un recente incidente di sicurezza, in qualità di ingegnere della sicurezza, devi migliorare la qualità dei rilevamenti attivati.
Attività: vuoi visualizzare tutti i punti dati per una tecnica specifica. In questo modo puoi decidere se le regole esistenti utilizzano le migliori origini dati e la migliore logica.
Passaggi:
Apri la matrice e fai clic sulla tecnica
T1003: OS Credential Dumping.La visualizzazione Dettagli mostra le due regole per questa tecnica.
Tieni presente che entrambe le regole utilizzano log della riga di comando precedenti. Tuttavia, il widget dell'origine dati mostra che il nuovo strumento EDR fornisce dati di fedeltà superiore per questa tecnica.
Risultato: trovi un modo chiaro per migliorare la qualità del rilevamento. Ora puoi creare una regola nuova e più solida utilizzando i dati EDR. Ciò comporta un minor numero di falsi positivi e una maggiore possibilità di rilevare attacchi complessi di dumping delle credenziali.
Prima di iniziare
Affinché le tue regole personalizzate vengano visualizzate nella matrice e vengano conteggiate per la copertura delle minacce, devi mapparle su una o più tecniche MITRE ATT&CK.
Per farlo, aggiungi una chiave technique alla sezione metadata della regola. Il valore
deve essere un ID tecnica MITRE ATT&CK valido o più ID come stringa separata da virgole.
Esempio: metadata: technique="T1548,T1134.001"
Le nuove regole vengono visualizzate nella matrice entro pochi minuti.
Accedere alla matrice MITRE ATT&CK
Per accedere alla matrice MITRE ATT&CK:
Nel menu di navigazione, fai clic su Rilevamento > Regole e rilevamenti.
Vai alla scheda Matrice MITRE ATT&CK.
Viene visualizzata la matrice MITRE ATT&CK.
Utilizzare la matrice MITRE ATT&CK
La matrice mostra le tattiche MITRE ATT&CK come colonne e le tecniche come schede all'interno di queste colonne. Ogni scheda tecnica è codificata a colori per indicare lo stato attuale e la profondità della copertura del rilevamento per quella tecnica.
Nelle schede delle tecniche puoi visualizzare quanto segue:
Indicatori delle sotto-tecniche: i piccoli indicatori colorati rappresentano le sotto-tecniche associate. Il colore di ogni indicatore corrisponde al numero di regole per quella sotto-tecnica. Tieni il puntatore sopra un indicatore per visualizzarne il nome.
Attivazione/disattivazione delle sotto-tecniche: per semplificare la matrice principale e ridurre il rumore visivo, apri il menu Opzioni di visualizzazione e deseleziona la casella di controllo Mostra sotto-tecniche.
Conteggio tipi di log: mostra i tipi di log associati alla tecnica. Se una tecnica non ha regole, la scheda della tecnica può mostrare un conteggio dei tipi di log associati (ad esempio, "7 tipi di log"). Indica un'opportunità di rilevamento, mostrando che disponi dei dati necessari per creare regole per questa tecnica.
Perfeziona il calcolo della copertura
Per perfezionare il calcolo della copertura, utilizza gli elenchi per Tipo di regola, Stato live e Stato avvisi per perfezionare i calcoli della copertura.
Cercare tecniche
Utilizza la barra di ricerca per trovare una tecnica specifica in base al nome (ad esempio,
Windows Command Shell) o all'ID (ad esempio, T1059.003). Per i nomi delle regole, i tipi di log o le origini dati MITRE, utilizza il menu Cerca per per restringere i
risultati.
Visualizza i dettagli della tecnica e le origini dei log
Fai clic su una scheda della tecnica per aprire il riquadro laterale dei dettagli della tecnica. Questo riquadro fornisce informazioni sulla tecnica e sulla capacità della tua organizzazione di rilevarla.
Il riquadro contiene le seguenti informazioni:
Descrizione MITRE: la descrizione ufficiale della tecnica del framework MITRE ATT&CK.
Sottotecniche: tutte le sottotecniche associate alla tecnica. Il chip colorato accanto a ogni ID indica il numero di regole per quella specifica sotto-tecnica.
Regole curate: un elenco completo di tutte le regole associate a questa tecnica.
Origini log: origini log che corrispondono alle origini dati MITRE per la tecnica che hanno inviato attivamente dati negli ultimi 30 giorni.
Esporta i dati
Fai clic su Esporta per scaricare la visualizzazione della matrice corrente come file JSON. Questo file
è compatibile con lo strumento ufficiale MITRE ATT&CK Navigator per ulteriori analisi.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.