Entender a cobertura de ameaças com a matriz MITRE ATT&CK
Este documento descreve como usar o painel da matriz MITRE ATT&CK no Google Security Operations. A matriz ajuda você a entender a postura de segurança da sua organização em relação ao framework MITRE ATT&CK. Ele também ajuda a encontrar lacunas na cobertura de ameaças e priorizar suas tarefas de segurança.
Entender táticas e técnicas
No framework MITRE ATT&CK, os conceitos fundamentais a seguir são usados para categorizar o comportamento do adversário.
Tática: objetivo de alto nível que um invasor tenta alcançar. Por exemplo, as táticas comuns incluem
Initial Access(entrar na rede),Persistence(permanecer na rede) eExfiltration(roubar dados).Técnica: o método específico usado para alcançar uma tática. Por exemplo, um invasor pode usar a técnica
Phishingpara ganhar a táticaInitial Access. Cada tática tem técnicas diferentes que um adversário pode usar.Subtécnica: uma subtécnica oferece uma descrição mais específica de como uma técnica é executada. Ele detalha o processo ou mecanismo para alcançar a meta de uma tática. Por exemplo,
Spearphishing AttachmenteSpearphishing Linksão sub-técnicas da técnicaPhishing.
As seguintes táticas são mostradas na matriz do MITRE ATT&CK:
| Tática do MITRE ATT&CK | Descrição |
|---|---|
| Coleção | coletar dados; |
| Comando e controle | Sistemas de controle de contato. |
| Acesso com credenciais | Roubar informações de login e senha. |
| Evasão de defesa | Evite a detecção. |
| Discovery | Entenda seu ambiente. |
| Execução | Executar códigos maliciosos. |
| Exfiltração | Roubar dados. |
| Impacto | Manipular, interromper e destruir sistemas e dados. |
| Acesso inicial | Acesse o ambiente. |
| Movimentação lateral | Mover-se dentro do seu ambiente. |
| Persistência | Mantenha a posição. |
| Escalonamento de privilégios | Obter permissões de níveis mais altos. |
| Reconhecimento | Reunir informações para usar em futuras operações maliciosas.
Essa tática só aparece na matriz quando a plataforma PRE é selecionada nas preferências do usuário.
|
| Desenvolvimento de recurso | Estabelecer recursos para apoiar operações maliciosas.
Essa tática só aparece na matriz quando a plataforma PRE é selecionada nas preferências do usuário.
|
Casos de uso comuns
Esta seção lista alguns casos de uso comuns para usar a matriz MITRE ATT&CK.
Identificar novas oportunidades de detecção
Objetivo: como analista de segurança, você quer melhorar de forma proativa a postura de segurança da sua organização expandindo a cobertura das regras de detecção.
Tarefa: encontre áreas em que você tem os dados necessários para criar novas detecções, mas não tem regras em vigor.
Etapas:
Abra a matriz do MITRE ATT&CK.
Analise a matriz para encontrar cards de técnicas que mostram uma contagem de regras baixa ou zero.
Encontre um card de técnica que mostre "0 regras", mas liste os tipos de registros disponíveis.
Clique no card para abrir o painel de detalhes da técnica.
Revise a lista de origens de registros para confirmar se são feeds de dados confiáveis e de alto volume.
Resultado: identifique uma oportunidade de detecção de alto valor. Você sabe que está ingerindo os dados corretos para detectar essa técnica e pode criar uma regra para fechar essa lacuna de cobertura.
Responder a um novo alerta de ameaça
Objetivo: a Agência de Segurança Cibernética e Infraestrutura (CISA) emite um alerta sobre um novo ransomware que está atacando seu setor.
Tarefa: como engenheiro de detecção, você precisa saber se as regras de segurança atuais conseguem detectar as táticas, técnicas e procedimentos (TTPs) específicos usados por essa nova ameaça.
Etapas:
Abra a matriz MITRE ATT&CK.
Filtre a matriz para destacar as técnicas mencionadas no alerta da CISA (por exemplo,
T1486: Data Encrypted for Impact,T1059.001: PowerShell).Observe a matriz. Você descobre que a matriz mostra que
PowerShellestá bem coberto, masData Encrypted for Impacté uma lacuna crítica com "Sem cobertura".
Resultado: você encontra uma lacuna de alta prioridade nas suas defesas. Agora você pode criar uma regra de detecção para cobrir o comportamento do ransomware.
Ajustar e melhorar as detecções atuais
Objetivo: após um incidente de segurança recente, como engenheiro de segurança, você precisa melhorar a qualidade das detecções acionadas.
Tarefa: você quer ver todos os pontos de dados de uma técnica específica. Isso ajuda você a decidir se as regras atuais estão usando as melhores fontes de dados e lógica.
Etapas:
Abra a matriz e clique na técnica
T1003: OS Credential Dumping.A visualização Detalhes mostra as duas regras dessa técnica.
As duas regras usam registros de linha de comando mais antigos. No entanto, o widget de fonte de dados mostra que a nova ferramenta de EDR fornece dados de maior fidelidade para essa técnica.
Resultado: você encontra uma maneira clara de melhorar a qualidade da detecção. Agora é possível criar uma regra nova e mais robusta usando os dados de EDR. Isso resulta em menos falsos positivos e uma chance maior de detectar ataques complexos de despejo de credenciais.
Antes de começar
Para que suas regras personalizadas apareçam na matriz e contribuam para a cobertura de ameaças, mapeie-as para uma ou mais técnicas do MITRE ATT&CK.
Para fazer isso, adicione uma chave technique à seção metadata da regra. O valor precisa ser um ID de técnica do MITRE ATT&CK válido ou vários IDs como uma string separada por vírgulas.
Exemplo: metadata: technique="T1548,T1134.001"
As novas regras aparecem na matriz em alguns minutos.
Acessar a matriz do MITRE ATT&CK
Para acessar a matriz MITRE ATT&CK, faça o seguinte:
No menu de navegação, clique em Detecção > Regras e detecções.
Navegue até a guia Matriz MITRE ATT&CK.
A matriz MITRE ATT&CK aparece.
Usar a matriz do MITRE ATT&CK
A matriz mostra as táticas do MITRE ATT&CK como colunas e as técnicas como cards dentro dessas colunas. Cada card de técnica é codificado por cores para indicar o status atual e a profundidade da cobertura de detecção para essa técnica.
Nos cards de técnica, é possível conferir o seguinte:
Indicadores de sub-técnica: os indicadores pequenos e coloridos representam as sub-técnicas associadas. A cor de cada indicador corresponde ao número de regras para essa subtécnica. Mantenha o ponteiro sobre um indicador para ver o nome dele.
Alternância de sub-técnica: para simplificar a matriz principal e reduzir o ruído visual, abra o menu Opções de visualização e desmarque a caixa de seleção Mostrar sub-técnicas.
Contagem de tipos de registros: mostra os tipos de registros associados à técnica. Se uma técnica não tiver regras, o card poderá mostrar uma contagem de tipos de registros associados (por exemplo, "7 tipos de registros"). Isso indica uma oportunidade de detecção, mostrando que você tem os dados necessários para criar regras para essa técnica.
Refinar o cálculo da cobertura
Para refinar o cálculo da cobertura, use as listas de Tipo de regra, Status ativo e Status de alerta.
Pesquisar técnicas
Use a barra de pesquisa para encontrar uma técnica específica por nome (por exemplo,
Windows Command Shell) ou ID (por exemplo, T1059.003). Para nomes de regras, tipos de
registros ou fontes de dados do MITRE, use o menu Pesquisar por para restringir os
resultados.
Ver detalhes da técnica e fontes de registros
Clique em qualquer card de técnica para abrir o painel lateral de detalhes. Esse painel fornece informações sobre a técnica e a capacidade da sua organização de detectá-la.
O painel contém as seguintes informações:
Descrição do MITRE: a descrição oficial da técnica do framework MITRE ATT&CK.
Subtécnicas: todas as subtécnicas associadas à técnica. O chip colorido ao lado de cada ID indica o número de regras para essa subtécnica específica.
Regras selecionadas: uma lista completa de todas as regras associadas a essa técnica.
Origens de registros: origens de registros que correspondem às fontes de dados do MITRE para a técnica e que enviaram dados ativamente nos últimos 30 dias.
Exportar dados
Clique em Exportar para baixar a visualização atual da matriz como um arquivo JSON. Esse arquivo é compatível com a ferramenta oficial MITRE ATT&CK Navigator para análise mais detalhada.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.