MITRE ATT&CK 映射和可视化
MITRE ATT&CK 框架呈现安全攻击中使用的对手策略。 它记录了可用于针对企业网络的高级持续威胁的常见策略、技术和过程。
MITRE ATT&CK 框架显示攻击的以下阶段:
| MITRE ATT&CK 策略 | 描述 |
|---|---|
| 集合 | 收集数据。 |
| 命令和控制 | 联系受控系统。 |
| 凭证访问 | 窃取登录名和密码信息。 |
| 防御规避 "仅限企业 | 规避检测。 |
| Discovery | 探索您的环境。 |
| 执行 | 运行恶意代码。 |
| 渗漏 | 窃取数据。 |
| 规避 "仅限工业控制系统 (ICS) | 避免安全防御。 |
| 影响 | 尝试处理、中断或破坏系统和数据。 |
| 初始访问 | 进入您的环境。 |
| 支线移动 | 在您的整个环境中移动。 |
| 持久性 | 保留据点。 |
| 权限升级 | 获得更高级别的许可权。 |
| 侦察 | 收集要在将来的恶意操作中使用的信息。 仅当在用户首选项中选择了 PRE 平台时,此策略才显示在 MITRE 报告中。 |
| 资源开发 | 建立资源以支持恶意操作。 仅当在用户首选项中选择了 PRE 平台时,此策略才显示在 MITRE 报告中。 |
策略,技术和子技术
策略代表 ATT&CK 技术或子技术的目标。 例如,对手可能希望获取对网络的凭证访问权。
技术代表了对手如何实现他们的目标。 例如,对手可能转储凭证以获取对网络的凭证访问权。
子技术更具体地描述了对手用来实现其目标的行为。 例如,攻击者可能会通过访问本地安全机构 (LSA) 私钥来转储凭证。
Workflow for MITRE ATT&CK mapping and visualization
在 IBM® QRadar® Use Case Manager中创建您自己的规则和构建块映射,或者修改 IBM QRadar 缺省映射以将定制规则和构建块映射到特定策略和方法。
通过同时编辑多个规则或构建块以及通过在 QRadar 实例之间共享规则映射文件来节省时间和精力。 导出 MITRE 映射 (定制和 IBM 缺省值) 作为定制 MITRE 映射的备份,以防您卸载应用程序,然后决定稍后重新安装该应用程序。 有关详细信息,请参阅卸载QRadar使用Case Manager。
完成规则和构建块的映射后,组织规则报告,然后通过图和热图可视化数据。 当前和潜在的 MITRE 覆盖范围数据可在以下报告中获得:在时间范围内检测到的报告、覆盖范围地图和报告以及覆盖范围摘要和趋势。