MITRE ATT & CK mapping e visualizzazione
Il framework MITRE ATT & CK rappresenta tattiche avversarie che vengono utilizzate in un attacco di sicurezza. Documenta tattiche, tecniche e procedure comuni che possono essere utilizzate in avanzate minacce persistenti contro le reti d'impresa.
Le seguenti fasi di un attacco sono rappresentate nel quadro MITRE ATT & CK:
| Tattica MITRE ATT&CK | Descrizione |
|---|---|
| Raccolta | Raccogli i dati. |
| Comando e controllo | Sistemi controllati a contatto. |
| Accesso credenziali | Rubate informazioni di login e password. |
| Evasione della difesa Solo per le imprese | Evitare il rilevamento. |
| Rilevamento | Scocca il tuo ambiente. |
| Esecuzione | Eseguire codice dannoso. |
| Estrazione | Rubare dati. |
| Evasione Solo sistemi di controllo industriale (ICS) | Evitare le difese di sicurezza. |
| Impatto | Cerca di manipolare, interrompere o distruggere sistemi e dati. |
| Accesso iniziale | Acquisisce l'ingresso nel tuo ambiente. |
| Movimento laterale | Muoviti attraverso il tuo ambiente. |
| Persistenza | Mantenere la foothold. |
| Escalation dei privilegi | Acquisire autorizzazioni di livello superiore. |
| Ricognizione | Raccogliere informazioni da utilizzare nelle future operazioni malevoli. Questo display tattico nelle relazioni MITRE solo quando la piattaforma PRE viene selezionata nelle preferenze dell'utente. |
| Sviluppo delle risorse | Stabilire le risorse per supportare le operazioni dannose. Questo display tattico nelle relazioni MITRE solo quando la piattaforma PRE viene selezionata nelle preferenze dell'utente. |
Tattiche, tecniche e sub - tecniche
Le tattiche rappresentano l'obiettivo di una tecnica ATT & CK o sub - tecnica. Ad esempio, un avversario potrebbe voler ottenere l'accesso delle credenziali alla propria rete.
Le tecniche rappresentano come un avversario raggiunga il loro obiettivo. Ad esempio, un avversario potrebbe scaricare le credenziali per ottenere l'accesso delle credenziali alla propria rete.
Le sottotecniche forniscono una descrizione più specifica del comportamento che un avversario utilizza per raggiungere il loro obiettivo. Ad esempio, un avversario potrebbe scaricare le credenziali accedendo alla Local Security Authority (LSA) Secrets.
Flusso di lavoro per MITRE ATT & CK mapping e visualizzazione
Creare le proprie associazioni di regole e blocchi di generazione in IBM® QRadar® Use Case Manageroppure modificare le associazioni predefinite IBM QRadar per associare le proprie regole personalizzate e i blocchi di generazione a tattiche e tecniche specifiche.
Risparmiare tempo e fatica modificando più regole o blocchi di generazione contemporaneamente e condividendo i file di associazione delle regole tra le istanze QRadar . Esportare le mappature MITRE (custom e IBM default) come backup delle mappature MITRE personalizzate nel caso in cui si disinstalla l'app e poi si decida successivamente per reinstallarla. Per ulteriori informazioni, vedere Disinstallazione di QRadar Use Case Manager.
Dopo aver terminato la mappatura delle regole e dei blocchi di costruzione, organizzare il report delle regole e quindi visualizzare i dati attraverso diagrammi e mappe di calore. I dati sulla copertura attuale e potenziale di MITRE sono disponibili nei seguenti report: Rilevato nel tempo, Mappa e rapporto di copertura e Riepilogo e trend di copertura.