Correlación y visualización de MITRE ATT&CK
La infraestructura de MITRE ATT&CK representa las tácticas de adversario que se utilizan en un ataque de seguridad. Documenta procedimientos, técnicas y tácticas comunes que se pueden utilizar en caso de amenazas persistentes avanzadas contra redes de empresa.
Las siguientes fases de un ataque están representadas en la infraestructura de MITRE ATT&CK:
| Táctica de MITRE ATT&CK | Descripción |
|---|---|
| Colección | Recopilar datos. |
| Mandato y control | Contactar con sistemas controlados. |
| Acceso a credenciales | Robar información de inicio de sesión y contraseña. |
| Defensa Evasión Sólo para empresas | Evitar la detección. |
| Descubrimiento | Descifrar el entorno. |
| Ejecución | Ejecutar código malicioso. |
| Exfiltración | Robar datos. |
| Evasión Sólo sistemas de control industrial (ICS) | Evite las defensas de seguridad. |
| Impacto | Intenta manipular, interrumpir o destruir sistemas y datos. |
| Acceso inicial | Obtener entrada al entorno. |
| Movimiento lateral | Moverse por el entorno. |
| Persistencia | Mantenerse afianzado. |
| Escalamiento de privilegios | Obtener permisos de nivel superior. |
| Reconocimiento | Recopile información para utilizar en futuras operaciones maliciosas. Esta técnica se muestra en los informes de MITRE solo cuando la plataforma PRE está seleccionada en las preferencias de usuario. |
| Desarrollo de recursos | Establezca recursos para dar soporte a operaciones maliciosas. Esta técnica se muestra en los informes de MITRE solo cuando la plataforma PRE está seleccionada en las preferencias de usuario. |
Tácticas, técnicas y técnicas secundarias
Las tácticas representan el objetivo de una técnica o técnica secundaria de ATT&CK. Por ejemplo, un adversario podría querer obtener acceso a credenciales de la red.
Las técnicas representan cómo consigue su objetivo un adversario. Por ejemplo, un adversario podría volcar las credenciales para obtener acceso a las credenciales de la red.
Las subtécnicas proporcionan una descripción más específica del comportamiento que un adversario utiliza para lograr su objetivo. Por ejemplo, un adversario podría volcar credenciales accediendo a los secretos de LSA (Local Security Authority).
Flujo de trabajo para correlación y visualización de MITRE ATT&CK
Cree sus propias correlaciones de reglas y bloques de construcción en IBM® QRadar® Use Case Manager, o modifique las correlaciones predeterminadas de IBM QRadar para correlacionar las reglas personalizadas y los bloques de construcción con tácticas y técnicas específicas.
Ahorre tiempo y esfuerzo editando varias reglas o componentes básicos al mismo tiempo y compartiendo archivos de correlación de reglas entre instancias de QRadar . Exporte las correlaciones de MITRE (las personalizadas y las predeterminadas de IBM) como copia de seguridad de las correlaciones personalizadas de MITRE, por si decidiese desinstalar la aplicación y volver a instalarla más adelante. Para obtener más información, consulte Desinstalación de QRadar Use Case Manager.
Cuando haya terminado de correlacionar las reglas y los componentes básicos, organice el informe de reglas y, a continuación, visualice los datos mediante diagramas y mapas de calor. Los datos de cobertura actuales y potenciales de MITRE están disponibles en los informes siguientes: el informe Detectado en periodo de tiempo, el Informe y correlación de cobertura y el informe Resumen y tendencia de cobertura.