MITRE ATT&CK 맵핑 및 시각화
MITRE ATT&CK 프레임워크는 보안 공격에 사용되는 권고 전술을 표시합니다. 이는 엔터프라이즈 네트워크에 대한 진보된 지속적 위협에서 사용할 수 있는 공통 전술, 기술 및 프로시저에 대해 설명합니다.
공격의 다음 단계는 MITRE ATT&CK 프레임워크에서 표시됩니다.
| MITRE ATT&CK 전술 | 설명 |
|---|---|
| 콜렉션 | 데이터를 수집합니다. |
| 명령 및 제어 | 제어 시스템에 접속합니다. |
| 신임 정보 액세스 | 로그인 및 비밀번호 정보를 훔칩니다. |
| 방어 회피 기업 전용 | 발견을 피합니다. |
| 감지 | 사용자 환경을 파악합니다. |
| 실행 | 악성 코드를 실행합니다. |
| 반출 | 데이터를 훔칩니다. |
| 회피 산업 제어 시스템(ICS) 전용 | 보안 방어를 피하세요. |
| 영향 | 시스템과 데이터를 조작, 인터럽트 또는 삭제하십시오. |
| 초기 액세스 | 사용자 환경에 접근합니다. |
| 측면 이동 | 사용자 환경을 통해 이동합니다. |
| 지속성 | 기반을 유지보수합니다. |
| 권한 상승 | 상위 레벨 권한을 획득합니다. |
| 수색 | 향후 악의적인 조작에서 사용할 정보를 수집합니다. 이 전술은 사용자 환경 설정에서 PRE 플랫폼이 선택된 경우에만 MITRE 보고서에 표시됩니다. |
| 자원 개발 | 악의적인 조작을 지원하도록 자원을 설정합니다. 이 전술은 사용자 환경 설정에서 PRE 플랫폼이 선택된 경우에만 MITRE 보고서에 표시됩니다. |
전술, 기술 및 하위 기술
전술은 ATT&CK 기술 또는 하위 기술의 목표를 나타냅니다. 예를 들어 상대편이 네트워크에 대한 신임 정보 액세스를 원할 수 있습니다.
기술은 상대편이 목표를 달성하는 방법을 나타냅니다. 예를 들어 상대편이 네트워크에 대한 신임 정보 액세스를 위해 신임 정보를 덤핑할 수 있습니다.
하위 기술은 상대편이 목표를 달성하기 위해 사용하는 동작에 대한 보다 구체적인 설명을 제공합니다. 예를 들어 상대편이 Local Security Authority(LSA) 시크릿에 액세스하여 신임 정보를 덤핑할 수 있습니다.
MITRE ATT&CK 맵핑 및 시각화를 위한 워크플로우
IBM® QRadar® Use Case Manager에서 고유한 룰 및 빌딩 블록 맵핑을 작성하거나 IBM QRadar 기본 맵핑을 수정하여 사용자 정의 룰 및 빌딩 블록을 특정 전술 및 기술에 맵핑하십시오.
여러 규칙 또는 빌딩 블록을 동시에 편집하고 QRadar 인스턴스 간에 규칙 맵핑 파일을 공유하여 시간과 노력을 절약하십시오. 앱을 설치 제거하고 나중에 다시 설치하도록 결정하는 경우 사용자 정의 MITRE 맵핑의 백업으로 MITRE 맵핑(사용자 정의 및 IBM 기본)을 내보내십시오. 자세한 내용은 QRadar 사용 Case Manager 제거하기를 참조하세요.
룰 및 빌딩 블록의 맵핑을 완료한 후 룰 보고서를 조직한 후 다이어그램과 히트 맵을 통해 데이터를 시각화하십시오. 현재 및 잠재적 MITRE 적용범위 데이터는 시간 프레임 내에서 발견됨 보고서, 적용범위 맵 및 보고서, 적용범위 요약 및 경향 보고서에서 사용 가능합니다.