將 MITRE ATT&CK 與 Google Security Operations 整合
整合版本:16.0
本文說明如何將 MITRE ATT&CK 與 Google Security Operations (Google SecOps) 整合。
用途
MITRE ATT&CK 整合功能會使用 Google SecOps 功能,支援下列用途:
戰術威脅關聯性:自動識別與警報中觀察到的特定惡意攻擊技術或戰術相關的入侵組合 (已知威脅群組),立即提供活動背後威脅行為人的相關情境。
緩解措施差距分析:針對標記的攻擊技術,自動擷取並分析 MITRE ATT&CK 架構中可用的相關緩解措施。這有助於安全團隊驗證目前的防禦控制措施是否足夠,或是否需要修補程式或導入工具。
事件資訊擴充與優先順序:直接在案件牆上新增詳細技術資訊 (包括說明、偵測方法和資料來源),擴充安全事件資訊,協助分析師快速瞭解攻擊方法,並優先處理應變步驟。
歷來技術分析:依據 ID (例如 T1050) 搜尋任何 MITRE ATT&CK 技術的詳細資料,有助於主動進行威脅搜索,並提供安全訓練和報告的權威知識。
整合參數
整合 MITRE ATT&CK 時,需要下列參數:
| 參數 | 說明 |
|---|---|
API Root |
必填。 MITRE ATT&CK CTI 存放區執行個體的網址。 |
Verify SSL |
選填。 如果選取這個選項,整合服務會在連線至 MITRE ATT&CK 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
取得相關入侵事件
使用「Get Associated Intrusions」(取得相關入侵事件) 動作,擷取與特定 MITRE ATT&CK 技術相關的入侵事件集 (已知對手群組) 資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得相關入侵事件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Technique ID |
必填。 用於尋找相關入侵集合的 ID (ID、名稱或外部 ID)。 |
Identifier Type |
必填。
可能的值如下:
預設值為 |
Max Intrusions to Return |
選填。 要擷取的入侵集數量上限。 預設值為 |
動作輸出內容
「取得相關入侵事件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Get Associated Intrusions」動作時收到的 JSON 結果輸出內容:
[
{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"description":"[ADVERSARY GROUP 01](https://attack.mitre.org/groups/G0001) is a threat group that has been active since at least 2014. The group ...",
"created":"2017-12-14T16:46:06.044Z",
"x_mitre_contributors":["Security Researcher A, Organization B"],
"modified":"2019-07-17T13:11:37.402Z",
"name":"ADVERSARY GROUP 01",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_version":"2.0",
"aliases":["ADVERSARY-01","ThreatGroup A","CyberSquad X","T-C-00"],
"type":"intrusion-set",
"id":"intrusion-set--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"external_references":
[
{
"url":"https://attack.mitre.org/groups/G0001",
"source_name":"mitre-attack",
"external_id":"G0001"
},{
"source_name":"ADVERSARY GROUP 01",
"description":"(Citation: SecurityVendor A May 2017) (Citation: Research Org B Nov 2017)(Citation: SecurityFirm C May 2017)"
}]},{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"name":"ADVERSARY GROUP 02",
"created":"2018-01-16T16:13:52.465Z",
"description":"[ADVERSARY GROUP 02](https://attack.mitre.org/groups/G0002) is a cyber espionage group with...",
"modified":"2019-03-22T19:57:36.804Z",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url":"https://attack.mitre.org/groups/G0002",
"source_name":"mitre-attack",
"external_id":"G0002"
},{
"source_name":"ADVERSARY GROUP 02",
"description":"(Citation: Trend Research Daserf Nov 2017)"
}],
"x_mitre_version":"1.0",
"type":"intrusion-set",
"id":"intrusion-set--b1c2d3e4-f5g6-7h8i-9j0k-1l2m3n4o5p6q",
"aliases":["ADVERSARY-02","ResearchGroup Z","Tango"]
},{
"created_by_ref":"identity--generic-ref-a1b2c3d4e5f6",
"name":"ADVERSARY GROUP 03",
"created":"2018-01-16T16:13:52.465Z",
"description":"[ADVERSARY GROUP 03](https://attack.mitre.org/groups/G0003) is a cyber espionage group that has been ...",
"modified":"2019-05-03T16:42:19.026Z",
"object_marking_refs":["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references":
[{
"url":"https://attack.mitre.org/groups/G0003",
"source_name":"mitre-attack",
"external_id":"G0003"
},{
"source_name":"ADVERSARY GROUP 03",
"description":"(Citation: ClearSky Analysis March 2017) (Citation: ClearSky Report July 2017) (Citation: Research Nov 2015)"
},],
"x_mitre_version":"1.1",
"type":"intrusion-set",
"id":"intrusion-set--c1d2e3f4-g5h6-7i8j-9k0l-1m2n3o4p5q6r",
"aliases":["ADVERSARY-03"]
}
]
指令碼結果
下表列出使用「取得相關入侵」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
取得緩解措施
使用「取得緩解措施」動作,擷取與特定 MITRE ATT&CK 技術相關聯的緩解策略。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得緩解措施」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Technique ID |
必填。 用來尋找 MITRE ATT&CK 技術相關緩解措施的 ID (名稱、內部 ID 或外部 ID)。 |
Identifier Type |
必填。
可能的值如下:
預設值為 |
Max Mitigations to Return |
選填。 要擷取的緩解措施控制項數量上限。 預設值為 |
動作輸出內容
「取得緩解措施」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Get Mitigations」動作時收到的 JSON 結果輸出內容:
[
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"description": "Examine and restrict unnecessary system utilities, third-party tools, or software capable of file encryption. Audit and/or block these tools using application control methods (Citation: Resource A 2010), such as Whitelisting Policy (Citation: Security Blog C 2016) or Software Restriction Mechanisms (Citation: Security Guide D 2014) where applicable. (Citation: Tech Ref E)",
"created": "2018-10-17T00:14:20.652Z",
"x_mitre_deprecated": true,
"modified": "2019-07-24T14:26:14.411Z",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url": "https://attack.mitre.org/mitigations/T9000",
"source_name": "mitre-attack",
"external_id": "T9000"
},
{
"url": "http://www.generic-security.org/whitepapers/application/app-whitelisting-33599",
"source_name": "Resource A 2010",
"description": "General Author, J. (2010, December). Application Whitelisting: Panacea or Propaganda?. Retrieved November 18, 2014."
},
{
"url": "http://blog.generic-cert.org/2016/01/windows-commands-abused-by-attackers.html",
"source_name": "Security Blog C 2016",
"description": "Researcher X. (2016, January 26). Windows Commands Abused by Attackers. Retrieved February 2, 2016."
},
{
"url": "https://www.generic-agency.gov/ia-guidance/tech-briefs/app-whitelisting.cfm",
"source_name": "Security Guide D 2014",
"description": "Government Agency Directorate. (2014, August). Application Whitelisting Using Policy Engine. Retrieved March 31, 2016."
},
{
"url": "http://technet.generic-corp.com/magazine/2008.06.srp.aspx",
"source_name": "Tech Ref E 2008",
"description": "Author C, & Author D. P. (2008, June). Application Lockdown with Restriction Policies. Retrieved November 18, 2014."
},
{
"url": "https://technet.generic-corp.com/library/ee791851.aspx",
"source_name": "Tech Ref F",
"description": "Generic Corp. (2012, June 27). Using Software Restriction Policies and AppLocker Policies. Retrieved April 7, 2016."
}
],
"x_mitre_version": "1.0",
"type": "course-of-action",
"id": "course-of-action--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"name": "File Encryption Mitigation"
}
]
指令碼結果
下表列出使用「取得緩解措施」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
取得技術詳細資料
使用「Get Technique Details」(取得技術詳細資料) 動作,即可擷取特定 MITRE ATT&CK 技術的完整詳細資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得技術詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Technique Identifier |
必填。 以半形逗號分隔的 ID 清單 (名稱、內部 ID 或外部 ID),用於尋找 MITRE ATT&CK 技術的詳細資訊。 |
Identifier Type |
必填。
可能的值如下:
預設值為 |
Create Insights |
選填。 如果選取這個選項,系統會針對處理的每個 MITRE ATT&CK 技術,分別產生安全性深入分析。 預設為停用。 |
動作輸出內容
「Get Technique Details」(取得技術詳細資料) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「取得技術詳細資料」動作時收到的 JSON 結果輸出內容:
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"external_references": [
{
"url": "https://attack.mitre.org/techniques/T9000",
"external_id": "T9000",
"source_name": "mitre-attack"
},
{
"url": "http://www.security-research.org/~author/DetectingEncryptedTraffic.pdf",
"source_name": "Research Group A 2013",
"description": "Author, H., Co-Author, C., & Co-Author, D. (2013, April). Detecting encrypted botnet traffic. Retrieved August 19, 2015."
},
{
"url": "https://generic-wiki.org/FileSignatures",
"source_name": "Wiki File Header Signatures",
"description": "Generic Wiki. (2016, March 31). List of file signatures. Retrieved April 22, 2016."
}
],
"created": "2017-05-31T21:30:30.26Z",
"x_mitre_platforms": ["Linux", "macOS", "Windows"],
"type": "attack-pattern",
"description": "Sensitive data is encrypted prior to exfiltration to conceal the information from detection tools or to make the activity less conspicuous upon defender inspection. The encryption process uses a utility, programming library, or custom script and is separate from any encryption used by the command and control or file transfer protocol. Common archive formats capable of encryption include RAR and zip.\\n\\nOther exfiltration techniques may be used to transfer the encrypted information out of the network, such as [Exfiltration Over C2 Channel](https://attack.mitre.org/techniques/T1041) and [Exfiltration Over Alternate Protocol](https://attack.mitre.org/techniques/T1048)",
"kill_chain_phases": [
{
"phase_name": "exfiltration",
"kill_chain_name": "mitre-attack"
}
],
"modified": "2018-10-17T00:14:20.652Z",
"id": "attack-pattern--a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_network_requirements": false,
"x_mitre_version": "1.0",
"x_mitre_data_sources": ["File monitoring", "Process monitoring", "Process command-line parameters", "Binary file metadata"],
"x_mitre_detection": "Encrypted files and related execution software can be detected through various means. Monitoring processes and command-line arguments for known encryption utilities may reveal suspicious activity. A process loading a key operating system DLL may be utilized to perform encryption. \\n\\nNetwork traffic analysis can reveal high entropy data indicative of encrypted transmission (Citation: Research Group A 2013). If the communications channel is unencrypted, network intrusion or DLP systems can detect encrypted files in transit by analyzing file headers (Citation: Wiki File Header Signatures).",
"name": "Data Encryption for Exfiltration"
}
指令碼結果
下表列出使用「取得技術詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
取得技術詳細資料
使用「取得技術詳細資料」動作,擷取 MITRE ATT&CK 技術的完整詳細資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得技術詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Technique Identifier |
必填。 以半形逗號分隔的 ID 清單 (名稱、內部 ID 或外部 ID),用於尋找 MITRE ATT&CK 技術的詳細資訊。 |
Identifier Type |
必填。
可能的值如下:
預設值為 |
動作輸出內容
「Get Techniques Details」(取得技術詳細資料) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「取得技術詳細資料」動作時收到的 JSON 結果輸出內容:
[
{
"Entity": "course-of-action--generic-ref-1a2b3c4d5e6f",
"EntityResult": {
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"external_references": [
{
"url": "https://attack.mitre.org/techniques/T9000",
"external_id": "T9000",
"source_name": "mitre-attack"
},
{
"url": "http://www.security-research.org/~author/encrypted-botnet-traffic.pdf",
"source_name": "Research Group A 2013",
"description": "Author, H., Co-Author, C., & Massey, D. (2013, April). Detecting encrypted botnet traffic. Retrieved August 19, 2015."
},
{
"url": "https://generic-wiki.org/FileHeaderSignatures",
"source_name": "Wiki File Header Signatures",
"description": "Generic Wiki. (2016, March 31). List of file signatures. Retrieved April 22, 2016."
}
],
"created": "2017-05-31T21:30:30.26Z",
"x_mitre_platforms": ["Linux", "macOS", "Windows"],
"type": "attack-pattern",
"description": "Sensitive data is encrypted prior to exfiltration to conceal the information from detection tools or to make the activity less conspicuous upon defender inspection. The encryption process uses a utility, programming library, or custom script and is separate from any encryption used by the command and control or file transfer protocol. Common archive formats capable of encryption include RAR and zip.\\n\\nOther exfiltration techniques likely apply as well to transfer the information out of the network, such as [Exfiltration Over Command and Control Channel](https://attack.mitre.org/techniques/T1041) and [Exfiltration Over Alternative Protocol](https://attack.mitre.org/techniques/T1048)",
"kill_chain_phases": [
{
"phase_name": "exfiltration",
"kill_chain_name": "mitre-attack"
}
],
"modified": "2018-10-17T00:14:20.652Z",
"id": "attack-pattern--a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"x_mitre_network_requirements": false,
"x_mitre_version": "1.0",
"x_mitre_data_sources": [
"File monitoring",
"Process monitoring",
"Process command-line parameters",
"Binary file metadata"
],
"x_mitre_detection": "Encryption software and encrypted files can be detected in many ways. Common utilities that may be present on the system or brought in by an adversary may be detectable through process monitoring and monitoring for command-line arguments for known encryption utilities. This may yield a significant amount of benign events, depending on how systems in the environment are typically used. The encryption key is often stated within command-line invocation of the software. A process that loads the Windows DLL crypt32.dll may be used to perform encryption, decryption, or verification of file signatures. Network traffic may also be analyzed for entropy to determine if encrypted data is being transmitted. (Citation: Research Group A 2013) If the communications channel is unencrypted, encrypted files of known file types can be detected in transit during exfiltration with a network intrusion detection or data loss prevention system analyzing file headers. (Citation: Wiki File Header Signatures)",
"name": "Data Encryption for Exfiltration"
}
}
]
輸出訊息
「Get Techniques Details」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Technique Details". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「取得技術詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
取得技術緩解措施
使用「Get Techniques Mitigations」(取得技術緩解措施) 動作,擷取與指定 MITRE 攻擊技術清單相關聯的緩解策略。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Get Techniques Mitigations」(取得技術緩解措施) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Technique ID |
必填。 以逗號分隔的 ID 清單 (名稱、內部 ID 或外部 ID),用於尋找 MITRE ATT&CK 技術的相關緩解措施。 |
Identifier Type |
必填。
可能的值如下:
預設值為 |
Max Mitigations to Return |
選填。 要擷取的緩解措施控制項數量上限。 預設值為 |
動作輸出內容
「取得技術緩解措施」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Get Techniques Mitigations」(取得技術緩解措施) 動作時收到的 JSON 結果輸出內容:
[
{
"Entity": "course-of-action--generic-ref-1a2b3c4d5e6f",
"EntityResult": {
"mitigations": [
{
"created_by_ref": "identity--generic-ref-a1b2c3d4e5f6",
"description": "Examine and restrict unnecessary system utilities, third-party tools, or software capable of file encryption. Audit and/or block these tools using application control methods (Citation: Research Org A 2010) such as Whitelisting Policy (Citation: Security Blog C 2016) or Software Restriction Mechanisms (Citation: Security Guide D 2014) where appropriate. (Citation: Tech Ref E)",
"created": "2018-10-17T00:14:20.652Z",
"x_mitre_deprecated": true,
"modified": "2019-07-24T14:26:14.411Z",
"object_marking_refs": ["marking-definition--fa42a846-8d90-4e51-bc29-71d5b4802168"],
"external_references": [
{
"url": "https://attack.mitre.org/mitigations/T9000",
"source_name": "mitre-attack",
"external_id": "T9000"
},
{
"url": "http://www.generic-security.org/whitepapers/application/app-whitelisting-33599",
"source_name": "Research Org A 2010",
"description": "Generic Author, J. (2010, December). Application Whitelisting: Panacea or Propaganda?. Retrieved November 18, 2014."
},
{
"url": "http://blog.generic-cert.org/2016/01/windows-commands-abused-by-attackers.html",
"source_name": "Security Blog C 2016",
"description": "Researcher X. (2016, January 26). Windows Commands Abused by Attackers. Retrieved February 2, 2016."
},
{
"url": "https://www.generic-agency.gov/ia-guidance/tech-briefs/app-whitelisting.cfm",
"source_name": "Security Guide D 2014",
"description": "Government Agency Directorate. (2014, August). Application Whitelisting Using Policy Engine. Retrieved March 31, 2016."
},
{
"url": "http://technet.generic-corp.com/magazine/2008.06.srp.aspx",
"source_name": "Tech Ref E 2008",
"description": "Author C, & Author D. P. (2008, June). Application Lockdown with Restriction Policies. Retrieved November 18, 2014."
},
{
"url": "https://technet.generic-corp.com/library/ee791851.aspx",
"source_name": "Tech Ref F",
"description": "Generic Corp. (2012, June 27). Using Software Restriction Policies and AppLocker Policies. Retrieved April 7, 2016."
}
],
"x_mitre_version": "1.0",
"type": "course-of-action",
"id": "course-of-action--a1b2c3d4-e5f6-7g8h-9i0j-1k2l3m4n5o6p",
"name": "File Encryption Mitigation"
}
]
}
}
]
輸出訊息
「Get Techniques Mitigations」(取得技術緩解措施) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Techniques Mitigations". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Get Techniques Mitigations」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
乒乓
使用「Ping」動作測試與 MITRE ATT&CK 的連線。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
| is_success | true或false |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。