Comprendere la copertura delle minacce con la matrice MITRE ATT&CK
Questo documento descrive come utilizzare il dashboard della matrice MITRE ATT&CK in Google Security Operations. La matrice ti aiuta a comprendere la postura di sicurezza della tua organizzazione rispetto al framework MITRE ATT&CK. Ti aiuta anche a trovare lacune nella copertura delle minacce e a dare la priorità alle attività di sicurezza.
Comprendere tattiche e tecniche
Nel framework MITRE ATT&CK, tattiche e tecniche sono due concetti fondamentali utilizzati per classificare il comportamento degli avversari.
Tattica: obiettivo di alto livello che un malintenzionato sta cercando di raggiungere. Ad esempio, le tattiche comuni includono
Initial Access(accesso alla rete),Persistence(permanenza nella rete) eExfiltration(furto di dati).Tecnica: il metodo specifico utilizzato per raggiungere una tattica. Ad esempio, un malintenzionato potrebbe utilizzare la tecnica
Phishingper ottenere la tatticaInitial Access. Ogni tattica ha tecniche diverse che un avversario potrebbe utilizzare.
Nella matrice MITRE ATT&CK vengono visualizzate le seguenti tattiche:
| Tattica MITRE ATT&CK | Descrizione |
|---|---|
| Raccolta | Raccogli i dati. |
| Comando e controllo | Sistemi controllati a contatto. |
| Accesso alle credenziali | Sottrarre le informazioni di accesso e la password. |
| Evasione della difesa | Evitare il rilevamento. |
| Discovery | Scopri il tuo ambiente. |
| Esecuzione | Eseguire codice dannoso. |
| Esfiltrazione | Rubare i dati. |
| Impatto | Manipolare, interrompere o distruggere sistemi e dati. |
| Accesso iniziale | Accedere al tuo ambiente. |
| Movimento laterale | Spostati nell'ambiente. |
| Persistenza | Mantenere il punto d'appoggio. |
| Escalation dei privilegi | Ottenere autorizzazioni di livello superiore. |
| Ricognizione | Raccogliere informazioni da utilizzare in future operazioni dannose.
Questa tattica viene visualizzata nella matrice solo quando la piattaforma PRE
è selezionata nelle preferenze utente.
|
| Sviluppo delle risorse | Stabilire risorse per supportare operazioni dannose.
Questa tattica viene visualizzata nella matrice solo quando la piattaforma PRE è selezionata nelle preferenze utente.
|
Casi d'uso comuni
Questa sezione elenca alcuni casi d'uso comuni per l'utilizzo della matrice MITRE ATT&CK.
Rispondere a un nuovo avviso sulle minacce
Scenario: la Cybersecurity and Infrastructure Security Agency (CISA) emette un avviso relativo a un nuovo ransomware che attacca il tuo settore.
Obiettivo dell'utente: un tecnico del rilevamento deve sapere se le sue attuali regole di sicurezza possono rilevare le tattiche, le tecniche e le procedure (TTP) specifiche utilizzate da questa nuova minaccia.
Passaggi:
L'ingegnere apre la matrice MITRE ATT&CK.
Filtrano la matrice per evidenziare le tecniche menzionate nell'avviso CISA (ad esempio,
T1486: Data Encrypted for Impact,T1059.001: PowerShell).Notano che la matrice mostra che
PowerShellè ben coperto, maData Encrypted for Impactè una lacuna critica con "Nessuna copertura".
Risultato: l'ingegnere trova una lacuna ad alta priorità nelle sue difese. Ora possono creare una nuova regola di rilevamento per coprire il comportamento del ransomware.
Ottimizzare e migliorare i rilevamenti esistenti
Scenario: dopo un recente incidente di sicurezza, un ingegnere della sicurezza deve migliorare la qualità dei rilevamenti attivati.
Obiettivo dell'utente: l'ingegnere vuole visualizzare tutti i punti dati per una tecnica specifica. Questo li aiuta a decidere se le regole esistenti utilizzano le migliori origini dati e logica.
Passaggi:
L'ingegnere apre la matrice e fa clic sulla tecnica
T1003: OS Credential Dumping.La visualizzazione Dettagli mostra le due regole per questa tecnica.
Notano che entrambe le regole utilizzano log della riga di comando precedenti. Tuttavia, il widget dell'origine dati mostra che il nuovo strumento EDR fornisce dati di fedeltà superiore per questa tecnica.
Risultato: l'ingegnere trova un modo chiaro per migliorare la qualità del rilevamento. Ora possono creare una nuova regola più solida utilizzando i dati EDR. Ciò comporta un minor numero di falsi positivi e una maggiore possibilità di rilevare attacchi complessi di dumping delle credenziali.
Prima di iniziare
Affinché le tue regole personalizzate vengano visualizzate nella matrice e vengano conteggiate ai fini della copertura delle minacce, devi mapparle su una o più tecniche MITRE ATT&CK.
Per farlo, aggiungi una chiave technique alla sezione metadata della regola. Il valore
deve essere un ID tecnica MITRE ATT&CK valido o più ID come stringa separata da virgole.
Esempio: metadata: technique="T1548,T1134.001"
Le nuove regole vengono visualizzate nella matrice entro pochi minuti.
Accedere alla matrice MITRE ATT&CK
Per accedere alla matrice MITRE ATT&CK:
Nel menu di navigazione, fai clic su Rilevamento > Regole e rilevamenti.
Vai alla scheda Matrice MITRE ATT&CK.
Viene visualizzata la matrice MITRE ATT&CK.
Utilizzare la matrice MITRE ATT&CK
La matrice mostra le tattiche MITRE ATT&CK come colonne e le tecniche come schede all'interno di queste colonne. Ogni scheda delle tecniche è codificata a colori per indicare lo stato attuale e la profondità della copertura del rilevamento per quella tecnica.
Perfeziona il calcolo della copertura
Per perfezionare il calcolo della copertura, utilizza gli elenchi per Tipo di regola, Stato live e Stato avviso per perfezionare i calcoli della copertura.
Cerca tecniche
Utilizza la barra di ricerca per trovare una tecnica specifica in base al nome (ad esempio,
Windows Command Shell) o all'ID (ad esempio, T1059.003), ai tipi di log o
all'origine dati MITRE.
Visualizza i dettagli della tecnica e le origini dei log
Fai clic su una scheda della tecnica per aprire il riquadro laterale dei dettagli della tecnica. Questo riquadro fornisce informazioni sulla tecnica e sulla capacità della tua organizzazione di rilevarla.
Il riquadro contiene le seguenti informazioni:
Descrizione MITRE: la descrizione ufficiale della tecnica del framework MITRE ATT&CK.
Regole associate: un elenco di tutte le regole associate a questa tecnica.
Origini log: origini log che corrispondono alle origini dati MITRE per la tecnica che hanno inviato attivamente dati negli ultimi 30 giorni.
Esporta i dati
Fai clic su Esporta per scaricare la visualizzazione della matrice corrente come file JSON. Questo file
è compatibile con lo strumento ufficiale MITRE ATT&CK Navigator per ulteriori analisi.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.