MITRE-ATT&CK Heatmap und Navigator

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 13 Minuten Lesedauer

    • Sie können die Heatmap und den Navigator MITRE-ATT&CK für die grundlegende Navigation und zur Visualisierung Ihrer allgemeinen Technikerkennungsabdeckung verwenden.

    Übersicht über die Heatmap und den Navigator MITRE-ATT&CK

    Sie können den Navigator mit den primären Filtern für die grundlegende Navigation und Beobachtung von ATT&CK-Matrizen verwenden. Die Heatmap hebt das Spektrum der Erkennungsabdeckung hervor, einschließlich der toten Winkel, die Ihre Organisation nicht abdeckt. Dies ist verfügbar, nachdem Sie die Technik-Erkennungsabdeckung zugeordnet haben.

    Die Heatmap und der Navigator bieten folgende Möglichkeiten:
    • Identifizieren Sie schnell und effizient die Erkennungsfähigkeiten Ihrer Organisation, und heben Sie Lücken in der Abdeckung der Technikerkennung hervor.
    • Suchen Sie nach Bedrohungen, und führen Sie eine Bedrohungskorrelation mithilfe zugehöriger Funktionen durch.

    Greifen Sie auf die Heatmap und den Navigator MITRE-ATT&CK zu

    Greifen Sie auf die Heatmap und den Navigator MITRE-ATT&CK zu, um die Matrix anzuzeigen, mit der Sie ATT&CK verwenden können.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.read, sn_ti.mitre_analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Heatmap überprüfen, die Filter für die Korrelation verwenden und eine Linkanalyse der MITRE-ATT&CK -Informationen, der erkennbaren Elemente und der Security Incidents in Ihrer Organisation durchführen.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Repository > Heatmap und Navigatoran.
      Heatmap und Navigator werden in einer neuen Registerkarte geöffnet.
    2. Wählen Sie die Quelle aus, um die Heatmap auszufüllen.
      Hinweis:
      In der Quellenliste werden nur die Sammlungen und Matrizen angezeigt, die aktiviert wurden.

      In der folgenden Abbildung sehen Sie, wie Sie zur Heatmap und zum Navigator navigieren und die Quelle auswählen, in diesem Beispiel Enterprise ATT&CK.

    3. Verwenden Sie das Suchfeld, um anhand des Namens oder der ID schnell eine bestimmte Taktik oder Technik zu finden.

      Die folgende Abbildung zeigt, wie Sie nach einer Taktik, Technik oder den darin enthaltenen Informationen suchen können.

    4. Klicken Sie auf Filter, und wählen Sie einen Filter unter Primären oder Erweiterten Filtern aus.
    5. Klicken Sie auf Übernehmen und steuern Sie die Filter wie folgt:
      • Um Ihre Filter zu speichern, erstellen Sie eine anwenderdefinierte Ansicht. Sie können drei anwenderdefinierte Ansichtenerstellen und speichern.
      • Um die ausgewählten Filter zu entfernen, klicken Sie auf „Standardfilter wiederherstellen“, um Ihre standardmäßige gespeicherte Ansicht zu laden.
      • Um alle Filter und die vorhandene Ansicht zu löschen, klicken Sie auf Alle Filterlöschen .
      Hinweis:
      Die Ansichten, die Sie speichern, sind spezifisch für einen Benutzer.
    6. Klicken Sie auf Untertechniken ausblenden, um alle Untertechniken aus der Heatmap-Ansicht zu entfernen.
      Wenn eine Technik Untertechniken hat, können Sie auf das Erweiterungssymbol klicken, um die Untertechniken anzuzeigen.

    Anwenderdefinierte Ansichten verwenden

    Anwenderdefinierte Ansichten in der Heatmap MITRE-ATT&CK und im Navigator helfen Ihnen, Ihre Lieblingsfilter zu speichern und anzuzeigen, wenn Sie das nächste Mal auf die Heatmap zugreifen.

    Hinweis:
    Sie können drei anwenderdefinierte Ansichten für jede MITRE-ATT&CK Sammlung pro Benutzer erstellen und speichern.

    Erstellen Sie eine -Ansicht

    Nachdem Sie die erforderlichen Filter unter Primären Filtern oder Erweiterten Filtern ausgewählt haben, klicken Sie im Header Filter auf die Schaltfläche mit den Auslassungspunkten (…), und wählen Sie Neue Ansicht erstellen aus. Geben Sie den Namen für die anwenderdefinierte Ansicht ein, und speichern Sie die Ansicht.

    Standardansichten

    Klicken Sie auf Als Standardansicht speichern speichern, um die Ansicht direkt zu laden, wenn Sie das nächste Mal auf die Heatmap zugreifen. Sie können für jede der Sammlungen eine Standardansicht festlegen.

    Hinweis:
    Wenn Sie das Plugin Threat Intelligence von einer älteren Version aktualisieren, wird die vorhandene Standardansicht der alten Version als anwenderdefinierte Ansicht angezeigt.

    Aktualisiert eine Ansicht

    Sie können Aktualisierungen an einer vorhandenen anwenderdefinierten Ansicht vornehmen, indem Sie die erforderlichen Filter „ Primär “ oder „ Erweitert “ ändern. Wählen Sie eine anwenderdefinierte Ansicht aus, aktualisieren Sie die Filter nach Bedarf, klicken Sie im Header Filter auf die Schaltfläche mit den Auslassungspunkten (…), und wählen Sie Ansicht aktualisieren aus, um die Filter zu speichern.

    Verwalten Sie anwenderdefinierte Ansichten

    Verwenden Sie die Kontrollkästchen neben jeder anwenderdefinierten Ansicht, um den ausgewählten anwenderdefinierten Ansichtsfilter anzuwenden.

    Klicken Sie auf die Schaltfläche mit den Auslassungspunkten (…) neben dem Namen jeder anwenderdefinierten Ansicht, um die anwenderdefinierten Ansichten wie folgt zu steuern:
    • Legen Sie eine Standardansicht fest.
    • Entfernen Sie eine anwenderdefinierte Ansicht als Standardansicht. Dadurch wird die anwenderdefinierte Ansicht nicht gelöscht.
    • Benennen Sie die anwenderdefinierte Ansicht um.
    • Löschen Sie die anwenderdefinierte Ansicht.

    Exportieren Sie eine gespeicherte Ansicht

    Um die gespeicherten anwenderdefinierten Ansichten in JSON-Dateien zu exportieren, klicken Sie im Header Filter auf die Auslassungspunkte (…), und wählen Sie GespeicherteAnsichten exportieren aus. Klicken Sie auf das Download-Symbol für die anwenderdefinierte Ansicht, die Sie auf Ihren lokalen Computer herunterladen möchten.

    Importieren Sie eine Ansicht

    Sie können nur JSON-Dateien importieren. Um die anwenderdefinierten Ansichten zu importieren, klicken Sie im Header Filter auf die Schaltfläche mit den Auslassungspunkten (…), und wählen Sie Import view(json) aus.

    Überprüfen Sie beim Importieren von Ansichten die folgenden Bedingungen:
    • Sie können nur das JSON-Dateiformat importieren.
    • Sie können jeweils nur eine Ansicht oder Datei importieren.
    • Sie können nicht importieren, wenn Sie bereits drei anwenderdefinierte Ansichten in Ihren Filtern haben. Löschen Sie eine anwenderdefinierte Ansicht, und importieren Sie eine Ansicht.
    • Sie können eine Ansicht mit einem vorhandenen anwenderdefinierten Ansichtsnamen nicht importieren. Benennen Sie eine Ansicht vor dem Import um.

    Navigator mit primären Filtern

    Verwenden Sie die primären Filter, um Techniken im Navigator MITRE-ATT&CK zu filtern. Die Informationen im Repository MITRE-ATT&CK stehen zur Auswahl.

    Filter Beschreibung
    Angreifergruppe (Bedrohungsgruppe) Sätze zugehöriger Angriffsaktivitäten, die in der Sicherheitscommunity unter einem allgemeinen Namen verfolgt werden. Unter Gruppen versteht man verschiedene Bedrohungsgruppen, Aktivitätsgruppen, Bedrohungsakteure, Angriffssätze und Kampagnen. Sie können dem Filter „Angreifergruppe“ (Bedrohungsgruppe) mehrere Gruppen hinzufügen.

    Sie fügen beispielsweise „APT1“ und „AT12“ hinzu, da beide Bedrohungsgruppen sind, die China zugeordnet werden. Auch wenn beide Gruppen unterschiedliche Quellen anvisieren, könnten sie doch ähnliche Techniken verwenden.
    Tool Legitimität der Software, die von Bedrohungsakteuren für Angriffe verwendet wird. Sie können verstehen, wie Bedrohungsakteure Kampagnen ausführen, wenn Sie wissen, wie und welche Tools Bedrohungsakteure verwenden. „Tools“ umfasst sowohl Software, die sich nicht auf einem Unternehmenssystem befindet, als auch Software, die als Teil eines Betriebssystems verfügbar ist, das bereits in einer Umgebung vorhanden ist, z. B. Microsoft Windows-Dienstprogramme.

    Beispielsweise ist gsecdump ein öffentlich verfügbarer Dumper für Anmeldeinformationen, den die APTI1-Angreifergruppe verwendet, um Passwort-Hashes und LSA-Geheimnisse (Local Security Authority) von Microsoft Windows-Betriebssystemen abzurufen.
    Malware Kommerzielle, anwenderdefinierte Closed Source- oder Open Source-Software, die von Angreifern für böswillige Zwecke verwendet werden soll.

    Beispiele sind PluginX, CHOPSTICK usw
    Plattform Taktiken und Techniken, die MITRE-ATT&CK auf einer bestimmten Plattform repräsentieren.

    Beispielsweise unterstützt MITRE-ATT&CK diese Plattformen in der Enterprise ATT&CK-Matrix: Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Network.
    Datenquelle Datenquellen, die Sie in Ihrer Umgebung sammeln und zur Erkennung von MITRE-ATT&CK -Techniken verwenden.

    Beispiele sind DLL-Überwachung und Browsererweiterungen.
    Die folgende Abbildung zeigt alle im Navigator MITRE-ATT&CK verfügbaren primären Filter.

    Primäre Filter.

    Mithilfe einer Heatmap mit primären und erweiterten Funktionen

    Sie können eine Heatmap mit erweiterten Filtern verwenden, um eine Analyse durchzuführen, indem Sie Security Incidents mit den Informationen MITRE-ATT&CK korrelieren.

    Zeigen Sie die Technik-IDs an

    Sie können die MITRE-ATT&CK Technik-IDs mit den Techniknamen anzeigen, wenn Sie den Filter Technik-IDs anzeigen auswählen.

    Zeigen Sie relevante Techniken nach Priorität an

    Um die Techniken anhand ihrer relevanten Priorität im Navigator zu filtern, wählen Sie Nach Prioritätsfilter für Technik filtern und anschließend im Menü die relevante Priorität aus. Sie können mehrere Filterprioritäten zuweisen. Sie können auch auf die Techniken in der Heatmap zeigen, um die Priorität der Technik zu erfahren.

    Die relevanten Prioritätsinformationen hängen von der Priorisierung ab, die Sie im Feld Technik relevante Priorität festgelegt haben.

    Zeigen Sie die Abdeckung der Technikerkennung an

    Um die allgemeine Technikerkennungsabdeckung in der Heatmap anzuzeigen, wählen Sie den Filter Technikerkennungsabdeckung anzeigen aus. Die Heatmap hebt das visuelle Spektrum der Erkennungsabdeckung hervor, einschließlich der toten Winkel, in denen Sie keine Abdeckung haben. Die Bewertungsdefinition des Basissystems und die Farben wurden in der Abdeckung der Technikerkennungdefiniert. Die Informationen wurden automatisch aus der allgemeinen Technikerkennungsabdeckung extrahiert.

    Beispielsweise weisen rot markierte Bereiche der Heatmap auf einen Mangel an Erkennung hin. Blau markierte Bereiche zeigen an, dass vollständige Erkennungsfunktionen vorhanden sind. Bereiche, die in Orange, Gelb und Hellblau markiert sind, spiegeln teilweise Erkennungsfunktionen wider.

    • Die Farbvisualisierung basiert auf der von Ihnen definierten Technikdefinition und Farbcodierung.
    • Die Abdeckungsvisualisierung basiert auf der von Ihnen definierten Zuordnung der Technikerkennungsabdeckung.
    • Wenn Sie die Abdeckungsdefinition des Basissystems ändern, werden die Symbole für Abdeckungstypen nicht mit den Techniken in der Heatmap angezeigt.
      Hinweis:
      Die Heatmap funktioniert wie erwartet, wenn Sie dieselben Felder wie die im Basissystem definierte Technikerkennungsabdeckung und die Abdeckungsfarben ändern.

    In dieser Abbildung sehen Sie die Technikerkennungsabdeckung für alle Techniken und Untertechniken und den Abdeckungstyp mit ihren Farben und Symbolen.

    Zeigen Sie die Abdeckung durch Technikminderung an

    Um die Gesamtabdeckung der Technikminderung in der Heatmap anzuzeigen, wählen Sie den Filter Technikminderungsabdeckung anzeigen aus. Die Heatmap hebt das visuelle Spektrum der Abdeckung durch die Verringerung hervor, einschließlich der Bereiche, die Sie nicht abdecken. Die Abdeckung durch die Verringerung, die Farben und die Prozentbereiche wurden in der Definition der Abdeckungdurch die Verringerung definiert. Die Informationen werden aus der allgemeinen Technik-Abdeckung durch Risikominderungextrahiert.

    Rot hervorgehobene Techniken zeigen beispielsweise keine Abdeckung durch die Verringerung an, Orange bedeutet eine geringe Abdeckung durch die Verringerung und Blau bedeutet eine hervorragende Abdeckung durch die Verringerung.
    • Die Farbvisualisierung basiert auf der Definition der Technikminderung und der Farbcodierung, die Sie definieren.
    • Die Abdeckungsvisualisierung basiert auf der von Ihnen definierten Zuordnung der Technik zur Abdeckung durch Risikominderung.
    • Wenn Sie die Definition der Abdeckung durch Risikominderung im Basissystem ändern, werden die Symbole für Abdeckungstypen für die Verringerung nicht mit den Techniken in der Heatmap angezeigt.
      Hinweis:
      Die Heatmap funktioniert wie erwartet, wenn Sie dieselben Felder wie die im Basissystem definierte Technikminderungsabdeckung und die Abdeckungsfarben ändern.

    Zeigen Sie die Abdeckung für Erkennung und Verringerung an

    Sie können die Filter für Technikerkennung und Abdeckung durch Technikminderung zusammen verwenden, um einen Einblick in die Relevanz der Technikerkennung zu erhalten und die Abdeckung für Ihr Unternehmen zu mindern.

    Diese Abbildung zeigt, wie der Erkennungs- und der Verringerungsfilter zusammen verwendet werden.

    Zeigen Sie die Bedrohungsgruppe an

    Um Informationen von der Bedrohungsgruppe zur Technik in der Heatmap anzuzeigen, wählen Sie Heatmap der Bedrohungsgruppe anzeigen aus. Sie können die Anzahl der Bedrohungsgruppen messen, die eine bestimmte Technik verwenden. Die Wahrscheinlichkeit eines Angriffs mit einer bestimmten Technik erhöht sich, wenn die Anzahl der Angreifer hoch ist. Die Bedrohungsgruppenbereiche und die Farben der Heatmap wurden in der Heatmap -Definition der Bedrohungsgruppentechnikdefiniert.

    Zeigen Sie Security Incidents an, die einer Technik zugeordnet sind

    Um die Techniken anzuzeigen, die in Ihrer Organisation häufig eingesetzt werden und zu Security Incidents geführt haben, klicken Sie auf Security Incident anzeigen, der der Technik zugeordnetist. Sie können weitere Informationen zu jedem der zugehörigen Security Incidents anzeigen, indem Sie auf den Link klicken, der in einem neuen Fenster zur Analyse geöffnet wird.

    • Priorität: Wählen Sie Security Incident Priority (Priorität von Security Incidents), um nach der Priorität des Security Incidents zu filtern.
    • Datumsbereich: Wählen Sie den Datumsbereich für Security Incident aus, um Sicherheitsprobleme nach Datumsbereich zu filtern.
    • Falsch positive Meldungen: Wählen Sie Security Incidents falsch positive Meldungen filtern aus, um falsch positive Probleme zu entfernen. Durch Auswahl dieses Filters wird die Anzahl der Security Incidents reduziert, die in der Heatmap angezeigt werden.

    Wenn Sie diesen Filter mit dem Filter „Abdeckung für Technikerkennung anzeigen “ verwenden, erhalten Sie einen Einblick in die Relevanz der Abdeckung für Technikerkennung für Ihre Organisation bis zum ausgewählten Datum.

    Wenn Sie beispielsweise beide Filter aktivieren, können Sie sehen, dass die Maskierungstechnik unter der Taktik der Verteidigungsumgehung nicht abgedeckt wird. Genauer betrachtet bezieht sich die Maskierungstechnik auf die Maskierungsaufgabe oder den Maskierungsservice, der bzw. dem ein Security Incident zugeordnet ist. Dies zeigt, dass in der Technikerkennungsabdeckung für die Maskierungstechnik eine Lücke besteht, und Sie sollten möglicherweise die allgemeine Technikerkennungsabdeckung überarbeiten.

    Erkennungsregeln anzeigen

    Um anzuzeigen, ob Sie die Erkennungsregeln für eine bestimmte Technik definiert haben, klicken Sie auf Erkennungsregeln anzeigen. Sie können auch alle zugehörigen Erkennungsregeln mit ihrer Definition anzeigen.

    Diese Informationen basieren auf der von Ihnen definierten Zuordnung von Erkennungsregeln.

    CVEs anzeigen, die der Technik zugeordnet sind

    Um die Informationen zu Common Vulnerabilities and Exposures (CVE), die den einzelnen Techniken zugeordnet sind, anzuzeigen, klicken Sie auf CVEs anzeigen, die der Technik zugeordnet sind. Die Informationen von CVE zu Technik basieren auf den Informationen, die im Modul „CVE – Technikzuordnung“verfügbar sind. Dies gewährt Ihnen Einblicke in bekannte Schwachstellen und zeigt Ihnen, ob Angreifer Ihre Organisation potenziell angreifen können.

    Wichtig:
    Die Heatmap wird so erweitert, dass nur die relevanten CVEs angezeigt werden, die den VITs zugeordnet sind

    Um VITs anzuzeigen, die CVEs und Techniken zugeordnet sind, wählen Sie VITs anzeigen, die CVE und Techniken zugeordnet sind. Um Techniken ohne VITs weiter zu filtern, wählen Sie außerdem Techniken ohne VITs ausblenden aus. Die von Ihnen angezeigten CVE- und VIT-Informationen werden aus dem -Produkt Vulnerability Response in Ihrer Umgebung abgerufen. Sie können die gefilterte Liste der CVEs und VITs in der Heatmap anzeigen und aus der Heatmap zu jedem CVE oder VIT für jede Technik navigieren.

    Hinweis:
    • Die der -Technik zugeordneten CVEs anzeigen ist nur verfügbar, wenn das Produkt Vulnerability Response in Ihrer Umgebung installiert ist.
    • Die VIT- und CVE-Informationen werden basierend auf der geplanten Aufgabe berechnet, die Sie im festgelegt haben MITRE-ATT&CK Eigenschaftenan. Die geplante Aufgabe des Basissystems ist auf 24 Stunden festgelegt.

    Wenn Sie diesen Filter mit dem Filter Security Incident anzeigen, der der Technik zugeordnet ist, erfahren Sie, ob die bekannten Schwachstellen in Ihrer Organisation Security Incidents verursacht haben.

    Sie können weitere Informationen zu jedem CVE anzeigen, um zu analysieren, ob das CVE für Ihre Organisation relevant ist. Zeigen Sie dazu die angreifbaren Elemente an. Wenn angreifbare Elemente erstellt werden, können Sie im Modul Vulnerability Response weitere Informationen zu zugehörigen CI-Informationen anzeigen. Sie können auch den Schweregrad und die Priorität überprüfen, um fundierte Entscheidungen zu treffen.

    Analysieren Sie Security Incidents

    Um Security Incidents zu analysieren und die Techniken zu überprüfen, die von einem Angreifer für einen Angriff verwendet werden, klicken Sie auf Security Incidents analysieren. Sie können mehrere Security Incidents zur Analyse hinzufügen, indem Sie durch Kommas getrennte Zeichenfolgen verwenden.

    Mit diesem Filter können Sie einen Security Incident analysieren. Sie erfahren, warum der Incident aufgetreten ist, welche Techniken ausgenutzt wurden, ob bekannte Bedrohungsakteure beteiligt waren, ob die Bedrohungsakteure eine bestimmte Sequenz für einen Angriff verwendet haben usw. Da Sie mehrere Security Incidents gleichzeitig analysieren können, können Sie die Informationen korrelieren, um zu sehen, ob sie zusammenhängen oder ob sie einen isolierten Incident darstellen. Wenn die Security Incidents miteinander zusammenhängen und Sie ein Muster beobachten, können Sie den Fortschritt der Incidents in der Kill Chain überprüfen, um den Angriff zu stoppen oder eine Verteidigungsstrategie für Ihre Organisation zu entwickeln.

    Wenn Sie den Filter „ Security Incidents analysieren “ mit primären Filtern verwenden, z. B. einer Angreifergruppe, können Sie korrelieren, ob bekannte Angreifer beteiligt sind. Wenn beispielsweise mehrere Security Incidents analysiert werden, werden die Techniken, die den Security Incidents zugeordnet sind, in Form einer Kill Chain angezeigt. Wenn Sie die Informationen mit dem Angreifer überschneiden, werden Sie eine Überschneidung zwischen den Techniken, die dem Security Incident zugeordnet sind, und den Techniken, die dem Angreifer zugeordnet sind, feststellen. Wenn beide Filter aktiviert sind, werden nur die Informationen zur überlappenden Technik angezeigt.

    Per Overlay können Sie Security Incidents und Angreifergruppen analysieren

    Verwenden Sie den Filter „Überlagerung aktivieren/Analysieren “, um das Verhalten des Angreifers anzuzeigen, einen oder mehrere Security Incidents zu analysieren und die Informationen zu korrelieren, um zu sehen, ob es sich bei einem Angriff um einen isolierten Incident oder einen koordinierten Angriff eines bekannten Angreifers handelt.

    Beispielsweise können Sie jetzt die Security Incidents und das Kill Chain-Verhalten des Bedrohungsgegners in derselben Ansicht anzeigen. Diese Ansicht enthält Überlappungsinformationen, die Sie über den Angriff und das bekannte Verhalten des Angreifers informieren. Auf diese Weise können Sie analysieren, ob es sich um einen isolierten Angriff oder einen koordinierten Angriff eines bekannten Angreifers handelt.

    Durch Aktivieren des Überlagerungsanalysefilters werden alle primären Filter mit Ausnahme des Angreifergruppenfilters und des erweiterten Filters „ Nach technikrelevanter Priorität filtern“ beim Generieren einer Ansicht ignoriert.

    Sobald Sie den Überlagerungsanalysefilter aktiviert haben, verwenden Sie die Farbpalette, um Farben für Folgendes zuzuweisen:
    • Security Incident analysieren
    • Angreifergruppe
    • Überlagerung

    Die folgende Abbildung zeigt, dass die Angreifergruppe APT18 über mehrere Techniken und Taktiken in der Kill Chain verteilt ist. Die Analyse zeigt auch, dass es drei Techniken gibt, die die von Ihnen nachverfolgte Angreifergruppe und die Security Incidents überlagern.