Odwzorowanie i wizualizacja MITRE ATT & CK
Struktura MITRE ATT & CK reprezentuje taktykę przeciwnika, która jest używana w ataku bezpieczeństwa. Dokumentuje wspólne taktyki, techniki i procedury, które mogą być używane w zaawansowanych, uporczywych zagrożeniach dla sieci korporacyjnych.
W strukturze MITRE ATT & CK reprezentowane są następujące fazy ataku:
| MITRE ATT & CK Tactic | Opis |
|---|---|
| Kolekcja | Zbierz dane. |
| Komenda i sterowanie | Systemy sterowane kontaktem. |
| Dostęp do informacji autoryzacyjnych | Kradzież informacji o logowaniu i haśle. |
| Uchylanie się od obrony | Należy unikać wykrywania. |
| Danych | Odkryj swoje środowisko. |
| wykonywanie | Uruchom szkodliwy kod. |
| Eksfiltracja | Kradzież danych. |
| Efekty | Próbuje manipulować, przerywać lub niszczyć systemy i dane. |
| Dostęp początkowy | Uzyskaj dostęp do swojego środowiska. |
| Ruch poprzeczny | Przejdź przez środowisko. |
| trwałość | Zachować podnóże. |
| Eskalacja uprawnień | Uzyskaj uprawnienia wyższego poziomu. |
| Rozpoznanie | Zgromadź informacje, które będą używane w przyszłych szkodliwych operacjach. Ta taktyka jest wyświetlana w raportach MITRE tylko wtedy, gdy w preferencjach użytkownika wybrano platformę PRE. |
| Projektowanie zasobów | Ustanawianie zasobów do obsługi szkodliwych operacji. Ta taktyka jest wyświetlana w raportach MITRE tylko wtedy, gdy w preferencjach użytkownika wybrano platformę PRE. |
Taktyka, techniki i podtechniki
Taktyka reprezentuje cel techniki lub podtechniki ATT & CK. Na przykład przeciwnik może chcieć uzyskać dostęp do informacji autoryzacyjnych w sieci.
Techniki reprezentują sposób, w jaki przeciwnik osiąga swój cel. Na przykład przeciwnik może zrzucić referencje, aby uzyskać dostęp do informacji autoryzacyjnych w sieci.
Podtechniki udostępniają bardziej szczegółowy opis zachowania, którego przeciwnik używa do osiągnięcia swojego celu. Na przykład przeciwnik może zrzucić referencje, uzyskując dostęp do danych niejawnych lokalnego urzędu zabezpieczeń (Local Security Authority-LSA).
Przepływ pracy dla odwzorowania i wizualizacji MITRE ATT & CK
Utwórz własne odwzorowania reguł i elementów składowych w programie IBM® QRadar® Use Case Managerlub zmodyfikuj domyślne odwzorowania IBM QRadar , aby odwzorować reguły niestandardowe i elementy składowe na konkretne taktyki i techniki.
Oszczędzaj czas i nakład pracy, edytując wiele reguł lub elementów składowych w tym samym czasie oraz współużytkując pliki odwzorowania reguł między instancjami QRadar . Wyeksportuj odwzorowania MITRE (niestandardowe i domyślne dla IBM ) jako kopię zapasową niestandardowych odwzorowań MITRE na wypadek, gdyby aplikacja została zdeinstalowana, a następnie zdecyduj się na ponowną instalację. Więcej informacji na ten temat zawiera sekcja Deinstalowanie produktu QRadar Use Case Manager.
Po zakończeniu odwzorowywania reguł i elementów składowych należy zorganizować raport reguł, a następnie zwizualizować dane za pomocą diagramów i map natężeń. Bieżące i potencjalne dane pokrycia MITRE są dostępne w następujących raportach: raport Wykryte w przedziale czasu , Mapa pokrycia i raportoraz Podsumowanie i trend pokrycia.