通过 MITRE ATT&CK 矩阵了解威胁覆盖范围
本文档介绍了如何在 Google Security Operations 中使用 MITRE ATT&CK 矩阵信息中心。该矩阵可帮助您了解组织在 MITRE ATT&CK 框架方面的安全态势。它还可以帮助您发现威胁覆盖范围方面的不足,并确定安全任务的优先级。
了解策略和技巧
在 MITRE ATT&CK 框架中,以下是用于对攻击者行为进行分类的基本概念。
策略:攻击者试图实现的高级目标。例如,常见策略包括
Initial Access(进入网络)、Persistence(留在网络中)和Exfiltration(窃取数据)。技术:用于实现策略的具体方法。例如,攻击者可能会使用
Phishing技术来获得Initial Access策略。每种战术都有不同的技术,攻击者可能会使用这些技术。子技术:子技术更具体地描述了技术的执行方式。它详细说明了实现战术目标的过程或机制。例如,
Spearphishing Attachment和Spearphishing Link是Phishing技术的子技术。
MITRE ATT&CK 矩阵中会显示以下策略:
| MITRE ATT&CK 策略 | 说明 |
|---|---|
| 集合 | 收集数据。 |
| 命令与控制 | 与受控系统联系。 |
| 凭据访问 | 窃取登录信息和密码。 |
| 防护规避 | 规避检测。 |
| Discovery | 了解您的环境。 |
| 执行 | 运行恶意代码。 |
| 渗漏 | 窃取数据。 |
| 影响 | 操纵、中断或破坏系统和数据。 |
| 初始访问 | 进入您的环境。 |
| 横向移动 | 在您的环境中移动。 |
| 持久性 | 维持立足点。 |
| 提升权限 | 获取更高级别的权限。 |
| 侦察 | 收集信息以用于未来的恶意操作。
只有在用户偏好设置中选择 PRE 平台时,此策略才会显示在矩阵中。
|
| 资源开发 | 建立资源以支持恶意操作。
只有在用户偏好设置中选择 PRE 平台时,此策略才会显示在矩阵中。
|
常见使用场景
本部分列出了使用 MITRE ATT&CK 矩阵的一些常见用例。
发掘新的检测机会
目标:作为安全分析师,您希望通过扩大检测规则覆盖范围来主动改善组织的安全状况。
任务:找到您拥有必要数据来构建新检测功能,但尚未制定相应规则的领域。
步骤:
打开 MITRE ATT&CK 矩阵。
扫描矩阵,找到显示规则数量较少或为零的分析法卡片。
找到显示“0 条规则”但列出了可用日志类型的技巧卡片。
点击相应卡片即可打开技术详情面板。
查看日志源列表,确认这些是可靠的高容量数据 Feed。
结果:确定高价值的检测机会。您知道自己已成功提取正确的数据来检测此技术,现在可以继续创建新规则来弥补此覆盖范围缺口。
应对新的威胁公告
目标:网络安全和基础设施安全局 (CISA) 发布了关于一种正在攻击您所在行业的新勒索软件的警报。
任务:作为检测工程师,您需要了解当前的安全规则是否可以检测到这种新威胁所使用的特定策略、技术和流程 (TTP)。
步骤:
打开 MITRE ATT&CK 矩阵。
过滤矩阵以突出显示 CISA 提醒中提及的技术(例如
T1486: Data Encrypted for Impact、T1059.001: PowerShell)。观察矩阵。您发现,矩阵显示
PowerShell的覆盖率很高,但Data Encrypted for Impact是一个关键缺口,显示为“无覆盖”。
结果:您发现防御系统存在一个高优先级的缺口。现在,您可以创建新的检测规则来涵盖勒索软件行为。
调整和改进现有检测
目标:在最近发生安全事件后,作为安全工程师,您需要提高触发的检测的质量。
任务:您想查看特定技术的所有数据点。这有助于您确定现有规则是否使用了最佳数据源和逻辑。
步骤:
打开矩阵,然后点击相应技术
T1003: OS Credential Dumping。详细信息视图显示了此技术的两条规则。
请注意,这两个规则都使用较旧的命令行日志。不过,数据源 widget 显示,新的 EDR 工具可为此技术提供更高保真度的数据。
结果:您找到了一种可明显提高检测质量的方法。 您现在可以使用 EDR 数据创建新的、更强大的规则。这样可以减少误报,并提高捕获复杂凭据转储攻击的几率。
准备工作
如需让自定义规则显示在矩阵中并计入威胁覆盖范围,您必须将这些规则与一项或多项 MITRE ATT&CK 技术相关联。
为此,请向规则的 metadata 部分添加 technique 键。该值必须是有效的 MITRE ATT&CK 技术 ID 或以英文逗号分隔的多个 ID 组成的字符串。
示例:metadata: technique="T1548,T1134.001"
新规则会在几分钟内显示在矩阵中。
访问 MITRE ATT&CK 矩阵
如需访问 MITRE ATT&CK 矩阵,请执行以下操作:
在导航菜单中,依次点击检测 > 规则和检测。
前往 MITRE ATT&CK 矩阵标签页。
系统会显示 MITRE ATT&CK 矩阵。
使用 MITRE ATT&CK 矩阵
该矩阵以列的形式显示 MITRE ATT&CK 策略,并以卡片的形式在这些列中显示技术。每张技术卡片都采用颜色编码,以指示相应技术的当前状态以及检测覆盖范围的深度。
在技术卡片上,您可以查看以下内容:
子技术指标:彩色小指标表示关联的子技术。每个指示器的颜色对应于相应子技术的规则数量。将指针悬停在某个指示器上,即可查看其名称。
子技术切换开关:如需简化主矩阵并减少视觉干扰,请打开查看选项菜单,然后清除显示子技术复选框。
日志类型数量:显示与相应技术相关联的日志类型。 如果某项技术没有规则,则技术卡片可以显示关联的日志类型数量(例如“7 种日志类型”)。这表示存在检测机会,表明您拥有为相应技术创建规则所需的数据。
优化覆盖面计算
如需优化覆盖面计算,请使用规则类型、有效状态和提醒状态列表来优化覆盖面计算。
搜索技巧
使用搜索栏按名称(例如 Windows Command Shell)或 ID(例如 T1059.003)查找特定技术。对于规则名称、日志类型或 MITRE 数据源,请使用按以下内容搜索菜单来缩小搜索结果范围。
查看技术详情和日志来源
点击任意技术卡片,打开技术详情侧边栏。此面板提供有关该技术以及贵组织检测该技术的能力的信息。
该面板包含以下信息:
MITRE 说明:MITRE ATT&CK 框架中该技术的官方说明。
子技术:与相应技术相关联的所有子技术。每个 ID 旁边的彩色功能块表示相应子技术的规则数量。
精选规则:与相应技术相关的所有规则的完整列表。
日志源:与相应技术的 MITRE 数据源对应的日志源,这些日志源在过去 30 天内主动发送过数据。
导出数据
点击导出,将当前矩阵视图下载为 JSON 文件。此文件与官方 MITRE ATT&CK Navigator 工具兼容,可用于进一步分析。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。