Mapeamento e visualização do MITRE ATT&CK
A estrutura DO MITRE ATT&CK representa táticas adversárias usadas em um ataque de segurança. Ele documenta táticas, técnicas e procedimentos comuns que podem ser usados em ameaças persistentes avançadas contra redes empresariais.
As fases a seguir de um ataque estão representadas na estrutura ATT&CK do MITRE:
Tática do MITRE ATT&CK |
Descrição |
---|---|
Reconhecimento | Reúna informações para usar em futuras operações maliciosas. Essa tática é exibida nos relatórios do MITRE apenas quando a plataforma PRE é selecionada em suas preferências de usuário. |
Desenvolvimento de recursos | Estabeleça recursos para oferecer suporte a operações maliciosas. Essa tática é exibida nos relatórios do MITRE apenas quando a plataforma PRE é selecionada em suas preferências de usuário. |
Impacto | Tenta manipular, interromper ou destruir sistemas e dados. |
Acesso inicial |
Obtenha a entrada no seu ambiente. |
Execução |
Execute um código malicioso. |
Persistência |
Mantenha a posição. |
Escalação de privilégios |
Obtenha permissões de nível mais alto. |
Evasão de defesa |
Evite a detecção. |
Acesso credencial |
Roube informações de login e senha. |
Descoberta |
Descubra seu ambiente. |
Movimento lateral |
Passe pelo seu ambiente. |
Coleção |
Reúna dados. |
Exfiltração |
Roube dados. |
Comando e controle |
Entre em contato com sistemas controlados. |
Táticas, técnicas e sub-técnicas
As táticas representam o objetivo de uma técnica ou sub-técnica ATT&CK. Por exemplo, um adversário pode querer ter acesso credencial à sua rede.
As técnicas representam como um adversário alcança seu objetivo. Por exemplo, um adversário pode descartar credenciais para obter acesso credencial à sua rede.
Sub-técnicas fornecem uma descrição mais específica do comportamento que um adversário usa para atingir sua meta. Por exemplo, um adversário pode descartar credenciais acessando os segredos da Autoridade de Segurança Local (LSA).
Fluxo de trabalho para mapeamento e visualização DE ATT&CK do MITRE
Crie mapeamentos de suas próprias regras e blocos de construção no QRadar Use Case Manager ou modifique mapeamentos padrão do QRadar para mapear suas regras personalizadas e blocos de construção para táticas e técnicas específicas.
Economize tempo e esforço editando várias regras ou blocos de construção ao mesmo tempo, e compartilhando arquivos de mapeamento de regras entre instâncias QRadar. Exporte seus mapeamentos MITRE (personalizados e padrão da IBM) como um backup de mapeamentos personalizados do MITRE caso você desinstale o aplicativo e depois decida reinstalá-lo. Para obter mais informações, veja Desinstalação do QRadar Use Case Manager.
Depois de terminar de mapear suas regras e blocos de construção, organize o relatório de regras e depois visualize os dados através de diagramas e mapas de calor. Os dados atuais e potenciais de cobertura do MITRE estão disponíveis nos seguintes relatórios: Detectados em relatório de prazo , mapa e relatório de cobertura, e resumo e tendência da cobertura.
-
Edição de mapeamentos do MITRE em uma regra ou bloco de construção
Crie mapeamentos de regras e blocos de construção ou modifique mapeamentos padrão do QRadar para mapear suas regras personalizadas e blocos de construção para táticas e técnicas específicas.
-
Edição de mapeamentos do MITRE em várias regras ou blocos de construção
Economize tempo e esforço editando várias regras ou blocos de construção ao mesmo tempo.
-
Compartilhamento de arquivos de mapeamento MITRE
Economize tempo e esforço ao mapear regras e blocos de construção para táticas e técnicas compartilhando arquivos de mapeamento de regras entre instâncias QRadar.
-
Visualizando a tática e a cobertura técnica do MITRE em seu ambiente
Visualize a cobertura das táticas e técnicas de ATT&CK do MITRE que as regras fornecem no QRadar. Depois de organizar o relatório de regras, você pode visualizar os dados através de diagramas e mapas de calor e exportar os dados para compartilhar com outros.
-
Visualização do resumo e tendências da cobertura do MITRE
O resumo do MITRE e os relatórios de tendências fornecem uma visão geral das diferentes táticas que são cobertas pelo QRadar Use Case Manager. Você pode analisar os dados sumários nos gráficos de tabela, barra e radar. Apenas o número de mapeamentos habilitados para as regras habilitadas são contados nos gráficos porque mapeamentos desativados não contribuem para a sua postura de segurança.
-
Visualização das táticas e técnicas do MITRE detectadas em um prazo específico
Ajuste suas regras pelas táticas e técnicas de ATT&CK do MITRE que são detectadas em seu ambiente em um prazo específico. O QRadar Use Case Manager exibe uma lista das ofensas e suas regras relacionadas que foram encontradas dentro desse prazo.
-
Cálculos do mapa de calor do MITRE
As cores nos mapas de calor do MITRE são calculadas com base no número de mapeamentos de regras para uma tática ou técnica, além do nível de confiança de mapeamento (baixo, médio ou alto).