MITRE ATT&CK mapping and visualization
MITRE ATT&CK 架構代表安全攻擊中使用的對手策略。 它記載可用於對企業網路的進階持續性威脅的一般策略、技術及程序。
The following phases of an attack are represented in the MITRE ATT&CK framework:
| MITRE ATT&CK Tactic | 說明 |
|---|---|
| 收集 | 收集資料。 |
| 指令及控制項 | 聯絡受控制的系統。 |
| 認證存取 | 竊取登入及密碼資訊。 |
| 防禦規避 | 避免偵測。 |
| Discovery | 瞭解您的環境。 |
| 執行 | 執行惡意程式碼。 |
| 洩漏 | 竊取資料。 |
| 影響 | 嘗試操作、岔斷或毀損系統和資料。 |
| 起始存取 | 進入您的環境。 |
| 橫向移動 | 在您的環境中移動。 |
| 持續性 | 維持立足點。 |
| 專用權提升 | 增益更高層次的許可權。 |
| 偵察 | 收集資訊以在未來惡意作業中使用。 只有在使用者喜好設定中選取 PRE 平台時,此策略才會顯示在 MITRE 報告中。 |
| 資源開發 | 建立資源以支援惡意作業。 只有在使用者喜好設定中選取 PRE 平台時,此策略才會顯示在 MITRE 報告中。 |
策略、技術及子技術
Tactics represent the goal of an ATT&CK technique or sub-technique. 例如,敵人可能想要取得您網路的認證存取權。
技術代表敵人如何達成其目標。 例如,敵人可能會傾出認證以取得網路的認證存取權。
子技術提供敵人用來達成其目標之行為的更具體說明。 例如,敵人可能會透過存取「本端安全權限 (LSA) 密鑰」來傾出認證。
Workflow for MITRE ATT&CK mapping and visualization
在 IBM® QRadar® Use Case Manager中建立您自己的規則和建置區塊對映,或修改 IBM QRadar 預設對映,將您的自訂規則和建置區塊對映至特定的策略和技術。
透過同時編輯多個規則或建置區塊,以及在 QRadar 實例之間共用規則對映檔,節省時間和精力。 將您的 MITRE 對映 (自訂及 IBM 預設值) 匯出為自訂 MITRE 對映的備份,以防您解除安裝應用程式之後決定重新安裝它。 如需相關資訊,請參閱 解除安裝 QRadar Use Case Manager。
完成對映規則和建置區塊之後,請組織規則報告,然後透過圖表和熱圖將資料視覺化。 下列報告中提供現行及潛在的 MITRE 涵蓋面資料: 在時間範圍內偵測 報告、 涵蓋面對映及報告,以及 涵蓋面摘要及趨勢。