Comprende la cobertura de amenazas con la matriz de MITRE ATT&CK
En este documento, se describe cómo usar el panel de la matriz de MITRE ATT&CK en Google Security Operations. La matriz te ayuda a comprender la postura de seguridad de tu organización en relación con el framework de MITRE ATT&CK. También te ayuda a encontrar brechas en tu cobertura de amenazas y a priorizar tus tareas de seguridad.
Comprende las tácticas y las técnicas
En el framework de MITRE ATT&CK, las tácticas y las técnicas son dos conceptos fundamentales que se usan para categorizar el comportamiento de los adversarios.
Táctica: Es el objetivo general que un atacante intenta lograr. Por ejemplo, las tácticas comunes incluyen
Initial Access(ingresar a la red),Persistence(permanecer en la red) yExfiltration(robar datos).Técnica: Es el método específico que se usa para lograr una táctica. Por ejemplo, un atacante podría usar la técnica
Phishingpara obtener la tácticaInitial Access. Cada táctica tiene diferentes técnicas que un adversario podría usar.
En la matriz de MITRE ATT&CK, se muestran las siguientes tácticas:
| Táctica de MITRE ATT&CK | Descripción |
|---|---|
| Colección | Recopila datos. |
| Comando y control | Sistemas de contacto controlado |
| Acceso a credenciales | Robar información de acceso y contraseñas |
| Evasión de defensa | Evita la detección. |
| Discovery | Conocer tu entorno |
| Ejecución | Ejecutar código malicioso |
| Robo de datos | Robar datos |
| Impacto | Manipular, interrumpir o destruir sistemas y datos |
| Acceso inicial | Obtén acceso a tu entorno. |
| Movimiento lateral | Desplazarte por tu entorno |
| Persistencia | Mantener la posición |
| Elevación de privilegios | Obtener permisos de nivel más alto |
| Reconocimiento | Recopilar información para usarla en futuras operaciones maliciosas
Esta táctica se muestra en la matriz solo cuando se selecciona la plataforma PRE en tus preferencias de usuario.
|
| Desarrollo de recursos | Establecer recursos para respaldar operaciones maliciosas
Esta táctica se muestra en la matriz solo cuando se selecciona la plataforma PRE en tus preferencias de usuario.
|
Casos de uso habituales
En esta sección, se enumeran algunos casos de uso comunes para usar la matriz de MITRE ATT&CK.
Cómo responder a un nuevo aviso de amenazas
Situación: La Cybersecurity and Infrastructure Security Agency (CISA) emite una alerta sobre un nuevo ransomware que ataca tu sector.
Objetivo del usuario: Un ingeniero de detección necesita saber si sus reglas de seguridad actuales pueden detectar las tácticas, técnicas y procedimientos (TTP) específicos que utiliza esta nueva amenaza.
Pasos:
El ingeniero abre la matriz de MITRE ATT&CK.
Filtran la matriz para destacar las técnicas mencionadas en la alerta de la CISA (por ejemplo,
T1486: Data Encrypted for Impact,T1059.001: PowerShell).Observan que la matriz muestra que
PowerShellestá bien cubierta, peroData Encrypted for Impactes una brecha crítica con "Sin cobertura".
Resultado: El ingeniero encuentra una brecha de alta prioridad en sus defensas. Ahora pueden crear una nueva regla de detección para abarcar el comportamiento del ransomware.
Ajusta y mejora las detecciones existentes
Situación: Después de un incidente de seguridad reciente, un ingeniero de seguridad debe mejorar la calidad de las detecciones que se activaron.
Objetivo del usuario: El ingeniero quiere ver todos los puntos de datos de una técnica específica. Esto los ayuda a decidir si sus reglas existentes usan las mejores fuentes de datos y la mejor lógica.
Pasos:
El ingeniero abre la matriz y hace clic en la técnica
T1003: OS Credential Dumping.En la vista Detalles, se muestran las dos reglas de esta técnica.
Observan que ambas reglas usan registros de línea de comandos más antiguos. Sin embargo, el widget de fuente de datos muestra que su nueva herramienta de EDR proporciona datos de mayor fidelidad para esta técnica.
Resultado: El ingeniero encuentra una forma clara de mejorar la calidad de la detección. Ahora pueden crear una regla nueva y más sólida con los datos del EDR. Esto genera menos falsos positivos y una mayor probabilidad de detectar ataques complejos de volcado de credenciales.
Antes de comenzar
Para que tus reglas personalizadas aparezcan en la matriz y se tengan en cuenta para la cobertura de amenazas, debes asignarlas a una o más técnicas de MITRE ATT&CK.
Para ello, agrega una clave technique a la sección metadata de la regla. El valor debe ser un ID de técnica de MITRE ATT&CK válido o varios IDs como una cadena separada por comas.
Ejemplo: metadata: technique="T1548,T1134.001"
Las reglas nuevas aparecerán en la matriz en unos minutos.
Accede a la matriz de MITRE ATT&CK
Para acceder a la matriz de MITRE ATT&CK, sigue estos pasos:
En el menú de navegación, haz clic en Detección > Reglas y detecciones.
Navega a la pestaña MITRE ATT&CK Matrix.
Aparecerá la matriz de MITRE ATT&CK.
Cómo usar la matriz de MITRE ATT&CK
La matriz muestra las tácticas de MITRE ATT&CK como columnas y las técnicas como tarjetas dentro de esas columnas. Cada tarjeta de técnica tiene un código de color para indicar el estado actual y la profundidad de la cobertura de detección para esa técnica.
Cómo mejorar el cálculo de la cobertura
Para definir mejor el cálculo de la cobertura, usa las listas de Tipo de regla, Estado en vivo y Estado de alerta.
Buscar técnicas
Usa la barra de búsqueda para encontrar una técnica específica por su nombre (por ejemplo, Windows Command Shell) o ID (por ejemplo, T1059.003), tipos de registros o fuente de datos de MITRE.
Consulta los detalles de la técnica y las fuentes de registros
Haz clic en cualquier tarjeta de técnica para abrir el panel lateral de detalles de la técnica. En este panel, se proporciona información sobre la técnica y la capacidad de tu organización para detectarla.
El panel contiene la siguiente información:
Descripción de MITRE: Es la descripción oficial de la técnica del framework de MITRE ATT&CK.
Reglas asociadas: Es una lista de todas las reglas asociadas a esa técnica.
Fuentes de registros: Son las fuentes de registros que corresponden a las fuentes de datos de MITRE para la técnica que enviaron datos de forma activa en los últimos 30 días.
Exportar datos
Haz clic en Exportar para descargar la vista actual de la matriz como un archivo JSON. Este archivo es compatible con la herramienta oficial MITRE ATT&CK Navigator para un análisis más detallado.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.