MITRE ATT&CK マトリックスで脅威のカバレッジを把握する

以下でサポートされています。

このドキュメントでは、Google Security Operations で MITRE ATT&CK マトリックス ダッシュボードを使用する方法について説明します。このマトリックスは、MITRE ATT&CK フレームワークに対する組織のセキュリティ体制を把握するのに役立ちます。また、脅威カバレッジのギャップを見つけて、セキュリティ タスクの優先順位を設定するのにも役立ちます。

戦術と手法を理解する

MITRE ATT&CK フレームワークでは、次の基本的なコンセプトを使用して、攻撃者の行動を分類します。

  • 戦術: 攻撃者が達成しようとしている高レベルの目標。たとえば、一般的な戦術には、Initial Access(ネットワークへの侵入)、Persistence(ネットワークへの滞在)、Exfiltration(データの盗難)などがあります。

  • Technique(手法): 戦術を達成するために使用される具体的な方法。たとえば、攻撃者は Phishing 手法を使用して Initial Access 戦術を取得する可能性があります。各戦術には、攻撃者が使用する可能性のあるさまざまな手法があります。

  • サブテクニック: サブテクニックは、テクニックの実行方法をより具体的に説明します。戦術の目標を達成するためのプロセスまたはメカニズムを詳しく説明します。たとえば、Spearphishing AttachmentSpearphishing LinkPhishing 手法のサブテクニックです。

MITRE ATT&CK マトリックスには、次の戦術が表示されます。

MITRE ATT&CK の戦術 説明
コレクション データを収集します。
コマンド&コントロール 制御されたシステムに連絡します。
認証情報アクセス ログイン情報とパスワード情報を盗む。
防御回避 検出を回避します。
検出 環境について把握します。
実行 不正なコードを実行する。
データの引き出し データを盗む。
影響 システムとデータを操作、中断、破壊する。
初期アクセス 環境への侵入を許す。
ラテラル ムーブメント 環境内を移動します。
永続性 足場を維持します。
権限昇格 上位レベルの権限を入手します。
偵察 将来の悪意のあるオペレーションで使用する情報を収集します。この戦術は、ユーザー設定で PRE プラットフォームが選択されている場合にのみ、マトリックスに表示されます。
リソース開発 悪意のあるオペレーションをサポートするリソースを確立します。この戦術は、ユーザー設定で PRE プラットフォームが選択されている場合にのみマトリックスに表示されます。

一般的なユースケース

このセクションでは、MITRE ATT&CK マトリックスを使用する一般的なユースケースをいくつか示します。

新しい検出の機会を特定する

  • 目標: セキュリティ アナリストとして、検出ルールのカバレッジを拡大することで、組織のセキュリティ体制をプロアクティブに改善したいと考えています。

  • タスク: 新しい検出を構築するために必要なデータはあるが、ルールが設定されていない領域を見つけます。

  • 手順:

    1. MITRE ATT&CK マトリックスを開きます。

    2. ルール数が少ないまたはゼロのテクニック カードがないか、マトリックスをスキャンします。

    3. 「0 ルール」と表示されているが、使用可能なログタイプが一覧表示されている手法カードを見つけます。

    4. カードをクリックして、手法の詳細パネルを開きます。

    5. ログソースのリストを確認して、信頼性の高い大容量のデータフィードであることを確認します。

  • 結果: 価値の高い検出機会を特定します。この手法を検出するために正しいデータが正常に取り込まれていることがわかったので、このカバレッジのギャップを埋める新しいルールの作成に進むことができます。

新しい脅威に関するアドバイザリに対応する

  • 目標: サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)が、組織の業界を標的とする新しいランサムウェアに関するアラートを発行します。

  • タスク: 検出エンジニアとして、現在のセキュリティ ルールでこの新しい脅威で使用されている特定の戦術、テクニック、手順(TTP)を検出できるかどうかを確認する必要があります。

  • 手順:

    1. MITRE ATT&CK マトリックスを開きます。

    2. マトリックスをフィルタして、CISA アラートで言及されている手法(T1486: Data Encrypted for ImpactT1059.001: PowerShell など)をハイライト表示します。

    3. マトリックスを確認します。マトリックスを見ると、PowerShell は十分にカバーされているが、Data Encrypted for Impact は「No Coverage」の重大なギャップであることがわかります。

  • 結果: 防御体制に優先度の高いギャップが見つかります。ランサムウェアの動作をカバーする新しい検出ルールを作成できるようになりました。

既存の検出を調整して改善する

  • 目標: 最近のセキュリティ インシデントを受けて、セキュリティ エンジニアとして、トリガーされた検出の品質を改善する必要があります。

  • タスク: 特定の手法に関するすべてのデータポイントを確認したい。これにより、既存のルールで最適なデータソースとロジックが使用されているかどうかを判断できます。

  • 手順:

    1. マトリックスを開き、手法 T1003: OS Credential Dumping をクリックします。

    2. [詳細] ビューには、この手法の 2 つのルールが表示されます。

    3. どちらのルールも古いコマンドライン ログを使用しています。ただし、データソース ウィジェットには、新しい EDR ツールがこの手法に対してより忠実度の高いデータを提供していることが示されています。

  • 結果: 検出品質を改善する明確な方法が見つかります。EDR データを使用して、より堅牢な新しいルールを作成できるようになりました。これにより、誤検出が減り、複雑な認証情報のダンプ攻撃を検出できる可能性が高まります。

始める前に

カスタムルールをマトリックスに表示して脅威カバレッジに含めるには、1 つ以上の MITRE ATT&CK 手法にマッピングする必要があります。

これを行うには、ルールの metadata セクションに technique キーを追加します。値は、有効な MITRE ATT&CK 手法 ID、またはカンマ区切りの文字列としての複数の ID である必要があります。

: metadata: technique="T1548,T1134.001"

新しいルールは数分以内にマトリックスに表示されます。

MITRE ATT&CK マトリックスにアクセスする

MITRE ATT&CK マトリックスにアクセスするには、次の操作を行います。

  1. Google SecOps にログインします

  2. ナビゲーション メニューで、[検出] > [ルールと検出] をクリックします。

  3. [MITRE ATT&CK Matrix] タブに移動します。

MITRE ATT&CK マトリックスが表示されます。

MITRE ATT&CK マトリックスを使用する

マトリックスには、MITRE ATT&CK の戦術が列として表示され、手法はそれらの列内のカードとして表示されます。各手法カードは、その手法の現在のステータスと検出範囲の深さを示すように色分けされています。

手法カードには、次の情報が表示されます。

サブテクニック インジケーター: 小さな色の付いたインジケーターは、関連するサブテクニックを表します。各インジケーターの色は、そのサブテクニックのルールの数に対応しています。インジケーターの上にポインタを置くと、名前が表示されます。

サブテクニックの切り替え: メインのマトリックスを簡素化し、視覚的なノイズを減らすには、[表示オプション] メニューを開き、[サブテクニックを表示] チェックボックスをオフにします。

ログタイプの数: 手法に関連付けられているログタイプが表示されます。手法にルールが 1 つもない場合、手法カードには関連するログタイプの数が表示されます(「7 個のログタイプ」など)。これは検出の機会を示しており、その手法のルールを作成するために必要なデータがあることを示しています。

カバレッジの計算を調整する

カバレッジの計算を絞り込むには、[ルールの種類]、[ライブ ステータス]、[アラート ステータス] のリストを使用して、カバレッジの計算を絞り込みます。

手法を検索する

検索バーを使用して、名前(Windows Command Shell など)または ID(T1059.003 など)で特定のテクニックを検索します。ルール名、ログタイプ、MITRE データソースの場合は、[検索条件] メニューを使用して結果を絞り込みます。

手法の詳細とログソースを表示する

いずれかの手法カードをクリックして、手法の詳細サイドパネルを開きます。このパネルには、手法と組織がその手法を検出できるかどうかに関する情報が表示されます。

このパネルには次の情報が表示されます。

MITRE の説明: MITRE ATT&CK フレームワークの公式な手法の説明。

サブ手法: 手法に関連付けられているすべてのサブ手法。各 ID の横にある色付きのチップは、その特定のサブテクニックのルールの数を示します。

キュレートされたルール: その手法に関連付けられているすべてのルールの包括的なリスト。

ログソース: 過去 30 日間にデータを積極的に送信した、この手法の MITRE データソースに対応するログソース。

データのエクスポート

[エクスポート] をクリックして、現在のマトリックス ビューを JSON ファイルとしてダウンロードします。このファイルは、公式の MITRE ATT&CK ナビゲーター ツールと互換性があり、詳細な分析に使用できます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。