Comprendre la couverture des menaces avec la matrice MITRE ATT&CK
Ce document explique comment utiliser le tableau de bord de la matrice MITRE ATT&CK dans Google Security Operations. La matrice vous aide à comprendre la posture de sécurité de votre organisation par rapport au framework MITRE ATT&CK. Il vous aide également à identifier les lacunes dans votre couverture contre les menaces et à hiérarchiser vos tâches de sécurité.
Comprendre les tactiques et les techniques
Dans le framework MITRE ATT&CK, les tactiques et les techniques sont deux concepts fondamentaux utilisés pour catégoriser le comportement des adversaires.
Tactique : objectif de haut niveau qu'un pirate informatique tente d'atteindre. Par exemple, les tactiques courantes incluent
Initial Access(pénétration du réseau),Persistence(maintien dans le réseau) etExfiltration(vol de données).Technique : méthode spécifique utilisée pour atteindre une tactique. Par exemple, un pirate informatique peut utiliser la technique
Phishingpour obtenir la tactiqueInitial Access. Chaque tactique comporte différentes techniques qu'un adversaire peut utiliser.
Les tactiques suivantes sont affichées dans la matrice MITRE ATT&CK :
| Tactique MITRE ATT&CK | Description |
|---|---|
| Collection | Recueillir des données |
| Commande et contrôle | Systèmes contrôlés par contact |
| Accès aux identifiants | voler les informations de connexion et le mot de passe ; |
| Éviction de défense | Évitez la détection. |
| Discovery | Déterminez votre environnement. |
| Exécution | exécuter du code malveillant ; |
| Exfiltration | Voler des données |
| Impact | manipuler, interrompre ou détruire des systèmes et des données ; |
| Accès initial | Accédez à votre environnement. |
| Mouvement latéral | Déplacez-vous dans votre environnement. |
| Persistance | Maintenir le point d'ancrage. |
| Élévation des privilèges | Obtenez des autorisations de niveau supérieur. |
| Reconnaissance | rassembler des informations à utiliser lors de futures opérations malveillantes ;
Cette tactique ne s'affiche dans la matrice que lorsque la plate-forme PRE est sélectionnée dans vos préférences utilisateur.
|
| Développement de ressources | Établir des ressources pour soutenir les opérations malveillantes.
Cette tactique ne s'affiche dans la matrice que lorsque la plate-forme PRE est sélectionnée dans vos préférences utilisateur.
|
Cas d'utilisation courants
Cette section liste quelques cas d'utilisation courants de la matrice MITRE ATT&CK.
Répondre à un nouvel avis sur les menaces
Scénario : la Cybersecurity and Infrastructure Security Agency (CISA) émet une alerte concernant un nouveau ransomware qui attaque votre secteur.
Objectif de l'utilisateur : un ingénieur en détection doit savoir si ses règles de sécurité actuelles peuvent détecter les tactiques, techniques et procédures (TTP) spécifiques utilisées par cette nouvelle menace.
Étapes :
L'ingénieur ouvre la matrice MITRE ATT&CK.
Ils filtrent la matrice pour mettre en évidence les techniques mentionnées dans l'alerte de la CISA (par exemple,
T1486: Data Encrypted for Impact,T1059.001: PowerShell).Ils remarquent que la matrice indique que
PowerShellest bien couvert, mais queData Encrypted for Impactprésente une lacune critique avec la mention "Aucune couverture".
Résultat : l'ingénieur trouve une faille à priorité élevée dans ses défenses. Il peut désormais créer une règle de détection pour couvrir le comportement du ransomware.
Ajuster et améliorer les détections existantes
Scénario : après un incident de sécurité récent, un ingénieur en sécurité doit améliorer la qualité des détections déclenchées.
Objectif de l'utilisateur : l'ingénieur souhaite afficher tous les points de données pour une technique spécifique. Cela les aide à déterminer si leurs règles existantes utilisent les meilleures sources de données et la meilleure logique.
Étapes :
L'ingénieur ouvre la matrice et clique sur la technique
T1003: OS Credential Dumping.La vue Détails affiche les deux règles pour cette technique.
Ils remarquent que les deux règles utilisent d'anciens journaux de ligne de commande. Toutefois, le widget de source de données indique que son nouvel outil EDR fournit des données plus fidèles pour cette technique.
Résultat : l'ingénieur trouve un moyen clair d'améliorer la qualité de la détection. Ils peuvent désormais créer une règle plus robuste à l'aide des données EDR. Cela permet de réduire le nombre de faux positifs et d'augmenter les chances de détecter les attaques complexes de vol d'identifiants.
Avant de commencer
Pour que vos règles personnalisées apparaissent dans la matrice et soient prises en compte dans la couverture des menaces, vous devez les mapper à une ou plusieurs techniques MITRE ATT&CK.
Pour ce faire, ajoutez une clé technique à la section metadata de la règle. La valeur doit être un ID de technique MITRE ATT&CK valide ou plusieurs ID sous forme de chaîne séparée par des virgules.
Exemple : metadata: technique="T1548,T1134.001"
Les nouvelles règles s'affichent dans la matrice en quelques minutes.
Accéder à la matrice MITRE ATT&CK
Pour accéder à la matrice MITRE ATT&CK :
Dans le menu de navigation, cliquez sur Détection > Règles et détections.
Accédez à l'onglet Matrice MITRE ATT&CK.
La matrice MITRE ATT&CK s'affiche.
Utiliser la matrice MITRE ATT&CK
La matrice affiche les tactiques MITRE ATT&CK sous forme de colonnes et les techniques sous forme de fiches dans ces colonnes. Chaque fiche de technique est associée à un code couleur qui indique l'état actuel et la profondeur de votre couverture de détection pour cette technique.
Affiner le calcul de la couverture
Pour affiner le calcul de la couverture, utilisez les listes Type de règle, État en direct et État des alertes.
Rechercher des techniques
Utilisez la barre de recherche pour trouver une technique spécifique par nom (par exemple, Windows Command Shell) ou par ID (par exemple, T1059.003), les types de journaux ou la source de données MITRE.
Afficher les détails techniques et les sources de journaux
Cliquez sur une fiche de technique pour ouvrir le panneau latéral d'informations sur la technique. Ce panneau fournit des informations sur la technique et sur la capacité de votre organisation à la détecter.
Le panneau contient les informations suivantes :
Description MITRE : description officielle de la technique issue du framework MITRE ATT&CK.
Règles associées : liste de toutes les règles associées à cette technique.
Sources de journaux : sources de journaux correspondant aux sources de données MITRE pour la technique qui ont envoyé des données de manière active au cours des 30 derniers jours.
Exporter les données
Cliquez sur Exporter pour télécharger la vue actuelle de la matrice au format JSON. Ce fichier est compatible avec l'outil officiel MITRE ATT&CK Navigator pour une analyse plus approfondie.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.