Mapeo y visualización de MITRE ATT&CK
El marco MITRE ATT&CK representa tácticas adversarias que se utilizan en un ataque de seguridad. Documenta tácticas, técnicas y procedimientos comunes que se pueden utilizar en amenazas avanzadas persistentes contra redes empresariales.
Las siguientes fases de un ataque están representadas en el marco de MITRE ATT&CK:
| Táctica MITRE ATT&CK |
Descripción |
|---|---|
| Reconocimiento | Recopile información para usarla en futuras operaciones maliciosas. Esta táctica se muestra en los informes MITRE solo cuando la plataforma PRE está seleccionada en sus preferencias de usuario. |
| Desarrollo de recursos | Establezca recursos para apoyar operaciones maliciosas. Esta táctica se muestra en los informes MITRE solo cuando la plataforma PRE está seleccionada en sus preferencias de usuario. |
| Impacto | Intenta manipular, interrumpir o destruir sistemas y datos. |
| Acceso inicial |
Obtenga acceso a su entorno. |
| Ejecución |
Ejecutar código malicioso. |
| Persistencia |
Mantener el punto de apoyo. |
| Escalada de privilegios |
Obtenga permisos de nivel superior. |
| Evasión de defensa |
Evite la detección. |
| Acceso a credenciales |
Robar información de inicio de sesión y contraseña. |
| Descubrimiento |
Averigüe su entorno. |
| Movimiento lateral |
Muévase por su entorno. |
| Colección |
Recopilar datos. |
| Exfiltración |
Robar datos. |
| Comando y Control |
Sistemas controlados por contacto. |
Tácticas, técnicas y subtécnicas
Las tácticas representan el objetivo de una técnica o subtécnica ATT&CK. Por ejemplo, un adversario podría querer obtener acceso de credenciales a su red.
Las técnicas representan cómo un adversario logra su objetivo. Por ejemplo, un adversario podría volcar credenciales para obtener acceso a su red.
Las subtécnicas proporcionan una descripción más específica del comportamiento que utiliza un adversario para lograr su objetivo. Por ejemplo, un adversario podría volcar credenciales accediendo a los secretos de la autoridad de seguridad local (LSA).
Flujo de trabajo para mapeo y visualización de MITRE ATT&CK
Cree sus propias asignaciones de reglas y bloques de construcción en QRadar Use Case Manager, o modifique las asignaciones predeterminadas de QRadar para asignar sus reglas personalizadas y bloques de construcción a tácticas y técnicas específicas.
Ahorre tiempo y esfuerzo editando varias reglas o bloques de creación al mismo tiempo, y compartiendo archivos de asignación de reglas entre instancias de QRadar. Exporte sus mapeos MITRE (personalizados y predeterminados de IBM) como una copia de seguridad de los mapeos MITRE personalizados en caso de que desinstale la aplicación y luego decida volver a instalarla. Para obtener más información, consulte Desinstalación de QRadar Use Case Manager.
Cuando termine de mapear sus reglas y bloques de creación, organice el informe de reglas y luego visualice los datos a través de diagramas y mapas de calor. Los datos actuales y potenciales de cobertura de MITRE están disponibles en los siguientes informes: Informe detectado en el marco temporal , Mapa e informe de cobertura, y Resumen y tendencia de cobertura.
-
Edición de asignaciones MITRE en una regla o bloque de creación
Cree sus propias asignaciones de reglas y bloques de construcción o modifique las asignaciones predeterminadas de QRadar para asignar sus reglas personalizadas y bloques de construcción a tácticas y técnicas específicas.
-
Edición de asignaciones MITRE en varias reglas o bloques de creación
Ahorre tiempo y esfuerzo editando varias reglas o bloques de construcción al mismo tiempo.
-
Compartir archivos de mapeo MITRE
Ahorre tiempo y esfuerzo al asignar reglas y bloques de construcción a tácticas y técnicas al compartir archivos de mapeo de reglas entre instancias de QRadar.
-
Visualización de la cobertura de tácticas y técnicas MITRE en su entorno
Visualice la cobertura de las tácticas y técnicas de MITRE ATT&CK que las reglas proporcionan en QRadar. Después de organizar el informe de reglas, puede visualizar los datos a través de diagramas y mapas de calor, y exportar los datos para compartirlos con otros usuarios.
-
Visualización del resumen y las tendencias de la cobertura de MITRE
El resumen de MITRE y los informes de tendencias proporcionan una visión general de las diferentes tácticas que cubre QRadar Use Case Manager. Puede analizar los datos de resumen en tablas, barras y gráficos de radar. Solo el número de asignaciones habilitadas a reglas habilitadas se cuenta en los gráficos porque las asignaciones deshabilitadas no contribuyen a su postura de seguridad.
-
Visualización de tácticas y técnicas de MITRE que se detectan en un período de tiempo específico
Ajuste sus reglas mediante las tácticas y técnicas de MITRE ATT&CK que se detectan en su entorno dentro de un marco de tiempo específico. El Administrador de casos de uso de QRadar muestra una lista de los delitos y sus reglas relacionadas que se encontraron dentro de ese período de tiempo.
-
Cálculos del mapa de calor de MITRE
Los colores en los mapas de calor MITRE se calculan en función del número de asignaciones de reglas a una táctica o técnica más el nivel de confianza del mapeo (bajo, medio o alto).