透過 MITRE ATT&CK 矩陣瞭解威脅涵蓋範圍
本文說明如何在 Google Security Operations 中使用 MITRE ATT&CK 矩陣資訊主頁。這個矩陣有助於您根據 MITRE ATT&CK 架構,瞭解貴機構的安全防護機制。此外,這項工具還能協助您找出威脅防護範圍的缺口,並排定安全防護工作的優先順序。
瞭解策略和技巧
在 MITRE ATT&CK 架構中,以下是將敵方行為分類的基本概念。
策略:攻擊者嘗試達成的最終目標。舉例來說,常見的策略包括
Initial Access(進入網路)、Persistence(留在網路中) 和Exfiltration(竊取資料)。技術:達成策略的具體方法。舉例來說,攻擊者可能會使用
Phishing技術來取得Initial Access策略。每種戰術都有不同的技術,可供攻擊者使用。子技術:子技術會更具體地說明技術的執行方式。並詳細說明達成戰術目標的程序或機制。舉例來說,
Spearphishing Attachment和Spearphishing Link是Phishing技術的子技術。
MITRE ATT&CK 矩陣會顯示下列戰術:
| MITRE ATT&CK 策略 | 說明 |
|---|---|
| 收藏 | 收集資料。 |
| 命令與控制 | 聯絡受控系統。 |
| 憑證存取權 | 竊取登入和密碼資訊。 |
| 規避防禦機制 | 避免遭人發現。 |
| 探索 | 瞭解您的環境。 |
| 執行 | 執行惡意程式碼。 |
| 資料竊取 | 竊取資料。 |
| 影響 | 操控、中斷或破壞系統和資料。 |
| 初始存取權 | 進入環境。 |
| 橫向移動 | 在環境中移動。 |
| 持續性 | 維持立足點。 |
| 權限提升 | 取得更高層級的權限。 |
| 偵察 | 收集資訊,以供日後進行惡意活動。
只有在使用者偏好設定中選取 PRE 平台時,這個策略才會顯示在矩陣中。
|
| 資源開發 | 建立資源,支援惡意作業。
只有在使用者偏好設定中選取 PRE 平台時,矩陣才會顯示這項策略。
|
常見用途
本節列出一些使用 MITRE ATT&CK 矩陣的常見用途。
找出新的偵測機會
目標:身為安全分析師,您希望擴大偵測規則涵蓋範圍,主動提升貴機構的安全防護機制。
工作:找出您擁有必要資料可建構新偵測項目,但沒有規則的區域。
步驟:
開啟 MITRE ATT&CK 矩陣。
掃描矩陣,找出規則計數為零或偏低的技術資訊卡。
找出顯示「0 條規則」但列出可用記錄類型的技術資訊卡。
按一下資訊卡,開啟技術詳細資料面板。
查看記錄來源清單,確認這些是可靠且大量資料的動態饋給。
結果:找出高價值偵測商機。您知道自己已成功擷取正確資料來偵測這項技術,現在可以繼續建立新規則,填補涵蓋範圍的缺口。
回應新的威脅諮詢
目標:美國網路安全暨基礎設施安全局 (CISA) 發布警報,指出有新的勒索軟體攻擊您的產業。
工作:身為偵測工程師,您需要瞭解目前的安全性規則是否能偵測到這項新威脅所用的特定戰術、技術和程序 (TTP)。
步驟:
開啟 MITRE ATT&CK 矩陣。
篩選矩陣,醒目顯示 CISA 快訊中提及的技術 (例如
T1486: Data Encrypted for Impact、T1059.001: PowerShell)。觀察矩陣。您發現矩陣顯示
PowerShell涵蓋範圍廣泛,但Data Encrypted for Impact是「無涵蓋範圍」的重大缺口。
結果:您發現防禦機制存在優先順序較高的漏洞。您現在可以建立新的偵測規則,涵蓋勒索軟體行為。
調整及改善現有偵測程序
目標:最近發生資安事件後,您身為安全工程師,需要提升觸發的偵測品質。
工作:您想查看特定技術的所有資料點。這有助於您判斷現有規則是否使用最佳資料來源和邏輯。
步驟:
開啟矩陣,然後點按技術
T1003: OS Credential Dumping。「詳細資料」檢視畫面會顯示這項技術的兩項規則。
請注意,這兩項規則都使用舊版指令列記錄。不過,資料來源小工具顯示,新的 EDR 工具可為這項技術提供更高保真度的資料。
結果:您找到明確的改善偵測品質方法。 您現在可以使用 EDR 資料建立更強大的新規則。這可減少誤報,並提高偵測複雜憑證傾印攻擊的機率。
事前準備
如要讓自訂規則顯示在矩陣中,並計入威脅涵蓋範圍,請將規則對應至一或多項 MITRE ATT&CK 技術。
如要這麼做,請在規則的 metadata 區段中新增 technique 鍵。值必須是有效的 MITRE ATT&CK 技術 ID,或以半形逗號分隔的多個 ID 字串。
示例:metadata: technique="T1548,T1134.001"
新規則會在幾分鐘內顯示在矩陣中。
存取 MITRE ATT&CK 矩陣
如要存取 MITRE ATT&CK 矩陣,請按照下列步驟操作:
依序點選導覽選單中的「偵測」>「規則與偵測」。
前往「MITRE ATT&CK Matrix」分頁。
系統會顯示 MITRE ATT&CK 矩陣。
使用 MITRE ATT&CK 矩陣
矩陣會以直欄顯示 MITRE ATT&CK 戰術,並以這些直欄中的資訊卡顯示技術。每張技術資訊卡都會以不同顏色標示,代表該技術目前的狀態,以及偵測涵蓋範圍的深度。
在技術資訊卡上,您可以查看下列資訊:
子技術指標:小型彩色指標代表相關聯的子技術。每個指標的顏色對應到該子技術的規則數量。將指標懸停在指標上,即可查看指標名稱。
子技術切換按鈕:如要簡化主要矩陣並減少視覺干擾,請開啟「檢視選項」選單,然後取消勾選「顯示子技術」核取方塊。
記錄類型計數:顯示與這項技術相關聯的記錄類型。 如果某項技術沒有任何規則,技術資訊卡可以顯示相關聯的記錄類型數量 (例如「7 種記錄類型」)。這表示有偵測機會,顯示您擁有建立該技術規則的必要資料。
修正涵蓋範圍計算
如要調整涵蓋範圍計算結果,請使用「規則類型」、「即時狀態」和「警報狀態」的清單。
搜尋技巧
使用搜尋列依名稱 (例如 Windows Command Shell) 或 ID (例如 T1059.003) 尋找特定技術。如要依規則名稱、記錄類型或 MITRE 資料來源搜尋,請使用「依據搜尋」選單縮小搜尋範圍。
查看技術詳細資料和記錄來源
按一下任一技術資訊卡,即可開啟技術詳細資料側邊面板。這個面板提供技術相關資訊,以及貴機構偵測該技術的能力。
面板包含下列資訊:
MITRE 說明:MITRE ATT&CK 架構中對技術的官方說明。
子技術:與技術相關的所有子技術。每個 ID 旁邊的彩色方塊表示該特定子技術的規則數量。
精選規則:與該技術相關的所有規則完整清單。
記錄來源:對應至技術 MITRE 資料來源的記錄來源,且過去 30 天內曾主動傳送資料。
匯出資料
按一下「匯出」,即可將目前的矩陣檢視畫面下載為 JSON 檔案。這個檔案與官方 MITRE ATT&CK 導覽工具相容,可供進一步分析。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。