MITRE ATT&CK マトリックスで脅威のカバレッジを把握する
このドキュメントでは、Google Security Operations で MITRE ATT&CK マトリックス ダッシュボードを使用する方法について説明します。このマトリックスは、MITRE ATT&CK フレームワークに対する組織のセキュリティ体制を把握するのに役立ちます。また、脅威の検出範囲のギャップを特定し、セキュリティ タスクの優先順位付けにも役立ちます。
戦術と手法を理解する
MITRE ATT&CK フレームワークでは、戦術と手法は、敵対者の行動を分類するために使用される 2 つの基本的なコンセプトです。
戦術: 攻撃者が達成しようとしている高レベルの目標。たとえば、一般的な戦術には、
Initial Access(ネットワークへの侵入)、Persistence(ネットワークへの滞在)、Exfiltration(データの盗難)などがあります。手法: 戦術を達成するために使用される具体的な方法。たとえば、攻撃者は
Phishing手法を使用してInitial Access戦術を取得する可能性があります。各戦術には、攻撃者が使用する可能性のあるさまざまな手法があります。
MITRE ATT&CK マトリックスには、次の戦術が表示されます。
| MITRE ATT&CK 戦術 | 説明 |
|---|---|
| コレクション | データを収集します。 |
| コマンド&コントロール | 制御されたシステムに連絡します。 |
| 認証情報アクセス | ログイン情報とパスワード情報を盗む。 |
| 防御回避 | 検出を回避します。 |
| 検出 | 環境を把握します。 |
| 実行 | 不正なコードを実行する。 |
| データの引き出し | データを盗む。 |
| 影響 | システムとデータを操作、中断、破壊する。 |
| 初期アクセス | 環境へのアクセス権を取得します。 |
| ラテラル ムーブメント | 環境内を移動します。 |
| 永続性 | 足がかりを維持します。 |
| 権限昇格 | 上位レベルの権限を取得します。 |
| 偵察 | 将来の悪意のあるオペレーションで使用する情報を収集します。この戦術は、ユーザー設定で PRE プラットフォームが選択されている場合にのみ、マトリックスに表示されます。 |
| リソース開発 | 悪意のある操作をサポートするリソースを確立します。この戦術は、ユーザー設定で PRE プラットフォームが選択されている場合にのみ、マトリックスに表示されます。 |
一般的なユースケース
このセクションでは、MITRE ATT&CK マトリックスを使用する一般的なユースケースについて説明します。
新しい脅威に関するアドバイザリに対応する
シナリオ: サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)が、業界を攻撃する新しいランサムウェアに関するアラートを発行します。
ユーザーの目標: 検出エンジニアは、現在のセキュリティ ルールでこの新しい脅威で使用されている特定の戦術、手法、手順(TTP)を検出できるかどうかを知る必要があります。
手順:
エンジニアが MITRE ATT&CK マトリックスを開きます。
マトリックスをフィルタして、CISA アラートで言及されている手法(
T1486: Data Encrypted for Impact、T1059.001: PowerShellなど)をハイライト表示します。マトリックスを見ると、
PowerShellは十分にカバーされているが、Data Encrypted for Impactは「No Coverage」の重大なギャップであることがわかります。
結果: エンジニアは、防御体制の優先度の高いギャップを見つけます。ランサムウェアの動作をカバーする新しい検出ルールを作成できるようになりました。
既存の検出を調整して改善する
シナリオ: 最近のセキュリティ インシデントの後、セキュリティ エンジニアはトリガーされた検出の品質を改善する必要があります。
ユーザーの目標: エンジニアが特定の技術のすべてのデータポイントを確認したい。これにより、既存のルールで最適なデータソースとロジックが使用されているかどうかを判断できます。
手順:
エンジニアがマトリックスを開き、手法
T1003: OS Credential Dumpingをクリックします。[詳細] ビューには、この手法の 2 つのルールが表示されます。
両方のルールで古いコマンドライン ログが使用されていることに気づきます。ただし、データソース ウィジェットには、新しい EDR ツールがこの手法に対してより忠実度の高いデータを提供していることが示されています。
結果: エンジニアは検出品質を改善する明確な方法を見つけます。EDR データを使用して、より堅牢な新しいルールを作成できるようになりました。これにより、誤検出が減り、複雑な認証情報のダンプ攻撃を検出できる可能性が高まります。
始める前に
カスタムルールをマトリックスに表示して脅威カバレッジに含めるには、1 つ以上の MITRE ATT&CK 手法にマッピングする必要があります。
これを行うには、ルールの metadata セクションに technique キーを追加します。値は、有効な MITRE ATT&CK 手法 ID、またはカンマ区切りの文字列として複数の ID である必要があります。
例: metadata: technique="T1548,T1134.001"
新しいルールは数分以内にマトリックスに表示されます。
MITRE ATT&CK マトリックスにアクセスする
MITRE ATT&CK マトリックスにアクセスするには、次の操作を行います。
ナビゲーション メニューで、[検出] > [ルールと検出] をクリックします。
[MITRE ATT&CK Matrix] タブに移動します。
MITRE ATT&CK マトリックスが表示されます。
MITRE ATT&CK マトリックスを使用する
マトリックスには、MITRE ATT&CK の戦術が列として表示され、手法がその列内のカードとして表示されます。各手法カードは、その手法の現在のステータスと検出範囲の深さを示すように色分けされています。
カバレッジの計算を調整する
カバレッジの計算を絞り込むには、[ルールの種類]、[ライブ ステータス]、[アラート ステータス] のリストを使用して、カバレッジの計算を絞り込みます。
手法を検索する
検索バーを使用して、名前(Windows Command Shell など)または ID(T1059.003 など)、ログタイプ、MITRE データソースで特定のテクニックを検索します。
手法の詳細とログソースを表示する
いずれかの手法カードをクリックして、手法の詳細サイドパネルを開きます。このパネルには、手法と組織がその手法を検出できるかどうかに関する情報が表示されます。
このパネルには次の情報が表示されます。
MITRE の説明: MITRE ATT&CK フレームワークの公式な手法の説明。
関連するルール: その手法に関連するすべてのルールのリスト。
ログソース: 過去 30 日間にデータを積極的に送信した、この手法の MITRE データソースに対応するログソース。
データのエクスポート
[エクスポート] をクリックして、現在のマトリックス ビューを JSON ファイルとしてダウンロードします。このファイルは、公式の MITRE ATT&CK ナビゲーター ツールと互換性があり、詳細な分析に使用できます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。