MITRE ATT&CK-Zuordnung und -Darstellung
Das MITRE ATT&CK-Framework stellt Angreifertaktiken dar, die bei einer Sicherheitsattacke verwendet werden. Dabei werden allgemeine Taktiken, Techniken und Verfahren dokumentiert, die in erweiterten und persistenten Bedrohungen im Unternehmensnetz angewendet werden können.
Die folgenden Phasen einer Attacke werden im MITRE ATT&CK-Framework dargestellt:
| MITRE ATT&CK-Taktik | Beschreibung |
|---|---|
| Datenerfassung | Daten sammeln |
| Befehl und Steuerung | Kontrollierte Systeme kontaktieren |
| Zugriff mit Berechtigungsnachweis | Anmelde- und Kennwortinformationen stehlen |
| Verteidigung Umgehung ' Nur für Unternehmen | Erkennung vermeiden |
| Erkennung | Umgebung ausspähen |
| Ausführung | Schädlichen Programmcode ausführen |
| Exfiltration | Daten stehlen |
| Umgehung ' Nur Industriekontrollsysteme (ICS) | Vermeiden Sie Sicherheitsvorkehrungen. |
| Auswirkung | Versucht, Systeme und Daten zu manipulieren, zu unterbrechen oder zu zerstören. |
| Erstzugriff | Zugang zu Ihrer Umgebung erlangen |
| Lateralausbreitung | Innerhalb der Umgebung bewegen |
| Persistenz | Erreichte Position halten |
| Berechtigungseskalation | Berechtigungen auf höherer Ebene erlangen |
| Ausspähung | Informationen zur Verwendung bei zukünftigen schädlichen Operationen sammeln Diese Taktik wird nur dann in den MITRE-Berichten angezeigt, wenn die PRE-Plattform in Ihren Benutzereinstellungen ausgewählt ist. |
| Ressourcenentwicklung | Ressourcen zur Unterstützung schädlicher Operationen erstellen Diese Taktik wird nur dann in den MITRE-Berichten angezeigt, wenn die PRE-Plattform in Ihren Benutzereinstellungen ausgewählt ist. |
Taktiken, Techniken und Untertechniken
Taktiken repräsentieren das Ziel einer ATT&CK-Technik oder Untertechnik. Ein Angreifer möchte beispielsweise Zugriff auf Berechtigungsnachweise für Ihr Netz erhalten.
Techniken stellen dar, wie ein Angreifer sein Ziel erreicht. Beispielsweise kann ein Angreifer einen Speicherauszug der Berechtigungsnachweise erstellen, um Zugriff auf Berechtigungsnachweise für Ihr Netz zu erhalten.
Untertechniken geben eine genauere Beschreibung des Verhaltens, das ein Angreifer zur Erreichung des Ziels verwendet. Ein Angreifer kann beispielsweise einen Speicherauszug der Berechtigungsnachweise erstellen, indem er auf geheime LSA-Schlüssel (Local Security Authority) zugreift.
Workflow für die MITRE ATT&CK-Zuordnung und -Darstellung
Erstellen Sie eigene Regel-und Bausteinzuordnungen in IBM® QRadar® Use Case Manageroder ändern Sie IBM QRadar -Standardzuordnungen, um Ihre angepassten Regeln und Bausteine bestimmten Taktiken und Verfahren zuzuordnen.
Sparen Sie Zeit und Aufwand, indem Sie mehrere Regeln oder Bausteine gleichzeitig bearbeiten und Regelzuordnungsdateien zwischen QRadar -Instanzen gemeinsam nutzen. Exportieren Sie Ihre MITRE-Zuordnungen (benutzerdefinierte Zuordnungen und IBM Standardzuordnungen) als Sicherung für benutzerdefinierte MITRE-Zuordnungen, falls Sie die App deinstallieren und später erneut installieren möchten. Weitere Informationen finden Sie unter Deinstallation von QRadar Use Case Manager.
Nachdem Sie die Zuordnung Ihrer Regeln und Bausteine abgeschlossen haben, können Sie den Regelbericht organisieren und die Daten anschließend in Diagrammen und Heat-Maps darstellen. Die Daten zur aktuellen und möglichen MITRE-Abdeckung sind in folgenden Berichten verfügbar: Detected in timeframe (Im Zeitrahmen erkannt) Coverage map and report (Map und Bericht zur Abdeckung) und Coverage summary and trend (Zusammenfassung und Trend der Abdeckung).