Odwzorowanie i wizualizacja MITRE ATT & CK

Struktura MITRE ATT & CK reprezentuje taktykę przeciwnika, która jest używana w ataku bezpieczeństwa. Dokumentuje wspólne taktyki, techniki i procedury, które mogą być używane w zaawansowanych, uporczywych zagrożeniach dla sieci korporacyjnych.

W strukturze MITRE ATT & CK reprezentowane są następujące fazy ataku:

MITRE ATT & CK Tactic Opis
Kolekcja Zbierz dane.
Komenda i sterowanie Systemy sterowane kontaktem.
Dostęp do informacji autoryzacyjnych Kradzież informacji o logowaniu i haśle.
Uchylanie się od obrony Należy unikać wykrywania.
Danych Odkryj swoje środowisko.
wykonywanie Uruchom szkodliwy kod.
Eksfiltracja Kradzież danych.
Efekty Próbuje manipulować, przerywać lub niszczyć systemy i dane.
Dostęp początkowy Uzyskaj dostęp do swojego środowiska.
Ruch poprzeczny Przejdź przez środowisko.
trwałość Zachować podnóże.
Eskalacja uprawnień Uzyskaj uprawnienia wyższego poziomu.
Rozpoznanie Zgromadź informacje, które będą używane w przyszłych szkodliwych operacjach.

Ta taktyka jest wyświetlana w raportach MITRE tylko wtedy, gdy w preferencjach użytkownika wybrano platformę PRE.

Projektowanie zasobów Ustanawianie zasobów do obsługi szkodliwych operacji.

Ta taktyka jest wyświetlana w raportach MITRE tylko wtedy, gdy w preferencjach użytkownika wybrano platformę PRE.

Taktyka, techniki i podtechniki

Taktyka reprezentuje cel techniki lub podtechniki ATT & CK. Na przykład przeciwnik może chcieć uzyskać dostęp do informacji autoryzacyjnych w sieci.

Techniki reprezentują sposób, w jaki przeciwnik osiąga swój cel. Na przykład przeciwnik może zrzucić referencje, aby uzyskać dostęp do informacji autoryzacyjnych w sieci.

Podtechniki udostępniają bardziej szczegółowy opis zachowania, którego przeciwnik używa do osiągnięcia swojego celu. Na przykład przeciwnik może zrzucić referencje, uzyskując dostęp do danych niejawnych lokalnego urzędu zabezpieczeń (Local Security Authority-LSA).

Przepływ pracy dla odwzorowania i wizualizacji MITRE ATT & CK

Utwórz własne odwzorowania reguł i elementów składowych w programie IBM® QRadar® Use Case Managerlub zmodyfikuj domyślne odwzorowania IBM QRadar , aby odwzorować reguły niestandardowe i elementy składowe na konkretne taktyki i techniki.

Oszczędzaj czas i nakład pracy, edytując wiele reguł lub elementów składowych w tym samym czasie oraz współużytkując pliki odwzorowania reguł między instancjami QRadar . Wyeksportuj odwzorowania MITRE (niestandardowe i domyślne dla IBM ) jako kopię zapasową niestandardowych odwzorowań MITRE na wypadek, gdyby aplikacja została zdeinstalowana, a następnie zdecyduj się na ponowną instalację. Więcej informacji na ten temat zawiera sekcja Deinstalowanie produktu QRadar Use Case Manager.

Po zakończeniu odwzorowywania reguł i elementów składowych należy zorganizować raport reguł, a następnie zwizualizować dane za pomocą diagramów i map natężeń. Bieżące i potencjalne dane pokrycia MITRE są dostępne w następujących raportach: raport Wykryte w przedziale czasu , Mapa pokrycia i raportoraz Podsumowanie i trend pokrycia.