MITRE ATT&CK のマッピングおよび可視化
MITRE ATT&CK フレームワークは、セキュリティー攻撃で使用される攻撃者の戦術を表します。 ここでは、エンタープライズ・ネットワークに対する高度かつ継続的な脅威で利用されることがある一般的な戦術、技法、および手順について記述します。
MITRE ATT&CK フレームワークでは、以下の攻撃フェーズが示されています。
| MITRE ATT&CK 戦術 | 説明 |
|---|---|
| コレクション | データを収集します。 |
| コマンドと制御 | コントロールされたシステムに接触します。 |
| 資格情報アクセス | ログイン情報とパスワード情報を盗みます。 |
| 防衛回避エンタープライズのみ | 検出を回避します。 |
| ディスカバリー | ユーザーの環境を把握します。 |
| 実行 | 悪意のあるコードを実行します。 |
| 引き出し | データを盗みます。 |
| 回避産業制御システム(ICS)のみ | セキュリティ防御を避ける。 |
| 影響 | システムやデータを操作、中断、または破棄しようとします。 |
| 初期アクセス | ユーザーの環境への侵入口を見つけます。 |
| 側方移動 | ユーザーの環境内を移動します。 |
| 永続性 | 足掛かりを維持します。 |
| 特権のエスカレーション | より高いレベルの許可を取得します。 |
| スキャン行為 | 将来の悪意のある操作に使用する情報を収集します。 この情報は、ユーザー設定で PRE プラットフォームが選択されている場合にのみ、MITRE レポートに表示されます。 |
| リソース開発 | 悪意のある操作をサポートするためのリソースを設定します。 この情報は、ユーザー設定で PRE プラットフォームが選択されている場合にのみ、MITRE レポートに表示されます。 |
戦術、技法、およびサブ技法
戦術は、ATT&CK 技法またはサブ技法の目的を表します。 例えば、攻撃者がネットワークへの資格情報アクセスを取得しようとしているなどです。
技法は、攻撃者がどのように目的を達成するかを表します。 例えば、攻撃者がネットワークへの資格情報アクセスを取得するために資格情報のダンプを取得するなどです。
サブ技法とは、攻撃者による目標達成のための動作に関するより具体的な説明を提供するものです。 例えば、攻撃者が Local Security Authority (LSA) シークレットにアクセスすることで資格情報のダンプを取得するなどです。
MITRE ATT&CK のマッピングおよび可視化のワークフロー
IBM® QRadar® Use Case Managerで独自のルールおよびビルディング・ブロック・マッピングを作成するか、 IBM QRadar のデフォルト・マッピングを変更して、カスタム・ルールおよびビルディング・ブロックを特定の戦術および技法にマップします。
複数のルールまたはビルディング・ブロックを同時に編集し、 QRadar インスタンス間でルール・マッピング・ファイルを共有することで、時間と労力を節約します。 アプリケーションをアンインストールした後に再インストールすることになった場合に備えて、カスタム MITRE マッピングのバックアップとして MITRE マッピング (カスタムおよび IBM デフォルト) をエクスポートしてください。 詳細については、 QRadarUseCase Managerのアンインストールを参照してください。
ルールおよびビルディング・ブロックのマップが完了したら、ルール・レポートを編成し、ダイアグラムとヒート・マップを使用してデータを可視化します。 現在および潜在的な MITRE の適応範囲データが出力されるレポートは「時間フレーム内で検出」レポート、「適応範囲のマップおよびレポート」、および「適応範囲の要約およびトレンド」です。