Отображение и визуализация MITRE ATT&CK
Каркас MITRE ATT&CK представляет тактики соперника, используемые в атаке на систему защиты. В нем представлены общие тактики, приемы и процедуры, которые могут использоваться в расширенных постоянных угрозах для корпоративных сетей.
В структуре MITRE ATT&CK представлены следующие фазы атаки:
| Тактика MITRE ATT&CK | Описание |
|---|---|
| Разведка | Сбор информации для использования в будущих вредоносных операциях. Этот прием выводится в отчетах MITRE, только если в предпочтениях пользователя выбрана платформа PRE. |
| Разработка ресурсов | Разработка ресурсов для поддержки вредоносных операций. Этот прием выводится в отчетах MITRE, только если в предпочтениях пользователя выбрана платформа PRE. |
| Начальный доступ | Получение входа в вашу среду. |
| Выполнение | Выполнение вредоносного кода. |
| Сохранение | Поддержание присутствия. |
| Эскалация привилегий | Получение разрешений высокого уровня. |
| Уклонение от защиты | Предотвращение обнаружения. |
| Доступ к идентификационным данным | Кража информации об именах пользователей и паролях. |
| Обнаружение | Исследование вашей среды. |
| Перемещение | Перемещение по вашей среде. |
| Совокупность | Сбор данных. |
| Утечка данных | Кража данных. |
| Управление и контроль | Связь с управляемыми системами. |
Тактики, приемы и подприемы
Тактика представляет собой цель приема ATT&CK или подприема. Например, злоумышленнику может потребоваться получить доступ к идентификационными данным в вашу сеть.
Приемы представляют то, как противник достигает своей цели. Например, злоумышленник может создать дамп идентификационных данных для получения доступа в вашу сеть через идентификационные данные.
Подприемы обеспечивают более конкретное описание поведения, используемого противником для достижения своей цели, например, для сброса учетных данных путем доступа к секретам Local Authority (LSA). Например, злоумышленник может создать дамп идентификационных данных, получив доступ к секретам Local Security Authority (LSA).
Рабочий поток для отображения и визуализации MITRE ATT&CK
Создайте свое собственное правило и отображения строительных блоков в IBM® QRadar Use Case Manager или измените отображения по умолчанию IBM QRadar, чтобы отобразить ваши пользовательские правила и строительные блоки в определенные тактики и приемы.
Сохраните время и усилия, изменив одновременно несколько правил или строительных блоков и совместно используя файлы, отображающие правила между экземплярами QRadar. Экспортируйте отображения MITRE (пользовательские и IBM по умолчанию) в качестве резервной копии пользовательских отображений MITRE в случае если вы деинсталлируете приложение, а затем решите его переустановить. Дополнительные сведения смотрите в разделе Деинсталляция QRadar Use Case Manager.
После того как вы закончите отображение правил и строительных блоков, организуйте отчет о правилах, а затем визуализируйте данные с помощью диаграмм и цветовых карт. Данные о текущем и потенциальном покрытии MITRE доступны в следующих отчетах: Обнаружено за интервал времени, Карта покрытия и отчет и Сводка и тенденция покрытия.