MITRE ATT & CK eşleme ve görselleştirme
MITRE ATT & CK çerçevesi, bir güvenlik saldırısında kullanılan düşman taktiklerini temsil eder. Kurumsal ağlara yönelik gelişmiş sürekli tehditlerde kullanılabilecek yaygın taktikleri, teknikleri ve yordamları belgeler.
Bir saldırının aşağıdaki aşamaları MITRE ATT & CK çerçevesinde temsil edilir:
| MITRE ATT & CK Taktiği | Açıklama |
|---|---|
| Elde etme | Veri toplayın. |
| Komut ve Kontrol | Kontak kontrollü sistemler. |
| Kimlik Bilgisi Erişimi | Oturum açma bilgilerini ve parola bilgilerini çal. |
| Savunma Kaçışı | Tespit edilmekten kaçının. |
| Keşif | Çevrenin nasıl olduğunu bul. |
| Yürütme | Kötü amaçlı kodu çalıştır. |
| Bilgi Çalma | Verileri çal. |
| Etki | Sistemleri ve verileri işlemeye, kesmeye ya da yok etmeye çalışır. |
| İlk Erişim | Ortamınıza giriş elde edin. |
| Yanal Hareket | Çevrenin içinde ilerleyin. |
| Kalıcılık | Ayağını koru. |
| Ayrıcalık Yükseltme | Daha üst düzey izinler elde edin. |
| Keşif | Gelecekteki kötü niyetli işlemlerde kullanmak üzere bilgi toplayın. Bu taktik, yalnızca kullanıcı tercihlerinizde PRE platformu seçildiğinde MITRE raporlarında görüntülenir. |
| Kaynak Geliştirme | Kötü niyetli işlemleri desteklemek için kaynaklar oluşturun. Bu taktik, yalnızca kullanıcı tercihlerinizde PRE platformu seçildiğinde MITRE raporlarında görüntülenir. |
Taktikler, teknikler ve alt teknikler
Taktikler, ATT & CK tekniğinin ya da alt tekniğin amacını temsil eder. Örneğin, bir düşman ağınıza kimlik bilgileri erişimi almak isteyebilir.
Teknikler, bir rakibin amacına nasıl ulaşacağını gösterir. Örneğin, bir düşman ağınıza kimlik bilgileri erişimi almak için kimlik bilgilerini dökümünü alabilir.
Alt teknikler, bir rakibin amacına ulaşmak için kullandığı davranışa ilişkin daha spesifik bir açıklama sağlar. Örneğin, bir düşman Yerel Güvenlik Yetkilisi (LSA) Sırlarına erişerek kimlik bilgilerinin dökümünü atabilir.
MITRE ATT & CK eşleme ve görselleştirme için iş akışı
IBM® QRadar® Use Case Manageriçinde kendi kural ve oluşturma öbeği eşlemelerinizi oluşturun ya da özel kurallarınızı ve oluşturma öbeklerinizi belirli taktiklerle ve tekniklerle eşlemek için IBM QRadar varsayılan eşlemelerini değiştirin.
Aynı anda birden çok kuralı ya da yapı bloğunu düzenleyerek ve QRadar eşgörünümleri arasında kural eşleme dosyalarını paylaşarak zamandan ve çabadan tasarruf edin. Uygulamayı kaldırmanız ve daha sonra yeniden kurmaya karar vermeniz durumunda özel MITRE eşlemelerinin yedeği olarak MITRE eşlemelerinizi (özel ve IBM varsayılan) dışa aktarın. Daha fazla bilgi için bkz. QRadar Use Case Manager.
Kurallarınızı ve yapı taşlarınızı eşlemeyi tamamladıktan sonra, kural raporunu düzenleyin ve verileri şemalar ve ısı haritaları aracılığıyla görselleştirin. Mevcut ve potansiyel MITRE kapsam verileri şu raporlarda bulunur: Zaman çerçevesinde algılandı raporu, Kapsam haritası ve raporuve Kapsam özeti ve eğilimi.