MITRE-ATT&CK mapa térmico e navegador

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 14 min. de leitura

    • Você pode usar o mapa térmico MITRE-ATT&CK e o navegador para navegação básica e para visualizar a cobertura geral de detecção da técnica.

    Visão geral do mapa térmico MITRE-ATT&CK e do navegador

    Você pode usar o navegador com os filtros primários para navegação básica e observação de matrizes ATT&CK. O mapa térmico destaca o espetro da cobertura de detecção, incluindo os pontos cegos em que sua organização não tem cobertura. Isso está disponível depois de mapear a cobertura de detecção da técnica.

    Com o mapa térmico e o navegador, você pode:
    • Identifique com rapidez e eficiência as capacidades de detecção da sua organização e destaque lacunas na cobertura de detecção da técnica.
    • Procure ameaças e execute a correlação de ameaças usando recursos associados.

    Acessar o mapa térmico e o navegador MITRE-ATT&CK

    Acesse o mapa térmico MITRE-ATT&CK e o navegador para que você possa visualizar a matriz que permite usar o ATT&CK.

    Antes de Iniciar

    Função necessária: sn_ti.read, sn_ti.mitre_analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode revisar o mapa térmico, usar os filtros para correlacionar e executar a análise de link de MITRE-ATT&CK, informações, observáveis e incidentes de segurança em sua organização.

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Repositório do MITRE ATT&CK > Mapa térmico e navegador.
      O mapa térmico e o navegador são abertos em uma nova guia.
    2. Selecione a origem para preencher o mapa térmico.
      Nota:
      Somente as coleções e matrizes que foram ativadas aparecem na lista de origem.

      Na ilustração a seguir, você vê como navegar até o mapa térmico e o navegador e como selecionar a origem, que é o Enterprise ATT&CK neste exemplo.

    3. Use a caixa de pesquisa para encontrar rapidamente uma tática ou técnica específica usando seu nome ou ID.

      A ilustração a seguir mostra como pesquisar uma tática, técnica ou qualquer informação contida nelas.

    4. Clique em Filtros e selecione um filtro entre os filtros Primário ou Avançado.
    5. Clique em Aplicar e controle os filtros da seguinte forma:
      • Para salvar seus filtros, crie uma exibição personalizada. Você pode criar e salvar três exibições personalizadas.
      • Para remover os filtros selecionados, clique em Restaurar filtros padrão para carregar a exibição salva padrão.
      • Para limpar todos os filtros e a exibição existente, clique em Limpar todos os filtros.
      Nota:
      As exibições que você salva são específicas para um usuário.
    6. Clique em Ocultar subtécnicas para remover todas as subtécnicas da exibição do mapa térmico.
      Se uma técnica tiver subtécnicas, você poderá clicar no ícone de expansão para exibir as subtécnicas.

    Como usar as exibições personalizadas

    As exibições personalizadas no mapa térmico e no navegador MITRE-ATT&CK ajudam a salvar e exibir seus filtros favoritos na próxima vez que você acessar o mapa térmico.

    Nota:
    Você pode criar e salvar três exibições personalizadas para cada coleção MITRE-ATT&CK por usuário.

    Criar uma exibição

    Depois de selecionar os filtros necessários nos filtros Primário ou Avançado, clique no botão de reticências (…) no cabeçalho Filtros e selecione Criar uma nova exibição. Insira o nome de exibição personalizado e Salvar exibição.

    Exibições padrão

    Clique em Salvar como uma exibição padrão para carregar diretamente a exibição na próxima vez que você acessar o mapa térmico. Você pode definir uma exibição padrão para cada uma das coleções.

    Nota:
    Se você estiver atualizando o plug-in Inteligência contra ameaças de uma versão mais antiga, a exibição padrão existente da versão antiga aparecerá como uma exibição personalizada.

    Atualizar uma exibição

    Você pode fazer atualizações em uma exibição personalizada existente modificando os filtros Primário ou Avançado necessários. Selecione uma exibição personalizada, atualize os filtros conforme necessário e clique no botão de reticências (...) no cabeçalho Filtros e selecione Atualizar exibição para salvar os filtros.

    Gerenciar exibições personalizadas

    Use as caixas de seleção ao lado de cada exibição personalizada para aplicar o filtro de exibição personalizado selecionado.

    Clique no botão de reticências (…) ao lado de cada nome de exibição personalizado para controlar as exibições personalizadas da seguinte forma:
    • Defina uma exibição padrão.
    • Remova uma exibição personalizada como a exibição padrão. Isso não exclui a exibição personalizada.
    • Renomeie a exibição personalizada.
    • Exclua a exibição personalizada.

    Exportar uma exibição salva

    Para exportar as exibições personalizadas salvas para arquivos JSON, clique nas reticências (...) no cabeçalho Filtros e selecione Exportar exibições salvas. Clique no ícone de download da exibição personalizada que você deseja baixar para o computador local.

    Importar uma exibição

    Você pode importar somente arquivos JSON. Para importar as exibições personalizadas, clique no botão de reticências (...) no cabeçalho Filtros e selecione Importar exibição (json).

    Revise as seguintes condições ao importar exibições:
    • Você só pode importar o formato de arquivo JSON.
    • Você pode importar apenas uma exibição ou arquivo por vez.
    • Você não pode importar se já tiver três exibições personalizadas em seus filtros. Exclua uma exibição personalizada e importe uma exibição.
    • Você não pode importar uma exibição com um nome de exibição personalizado existente. Renomeie uma exibição antes de importar.

    Navegador com filtros primários

    Use os filtros primários para filtrar técnicas no navegador MITRE-ATT&CK. As informações no repositório MITRE-ATT&CK estão disponíveis para seleção.

    Filtrar Descrição
    Grupo adversário (grupo de ameaça) Conjuntos de atividades de intrusão relacionadas que são rastreadas por um nome comum na comunidade de segurança. Grupos podem significar vários grupos de ameaças, grupos de atividades, agentes de ameaça, conjuntos de intrusão e campanhas. Você pode adicionar vários grupos ao filtro Grupo adversário (grupo de ameaças).

    Por exemplo, você adiciona APT1 e AT12, pois ambos são grupos de ameaças atribuídos à China. Embora ambos os grupos possam ter como destino origens diferentes, eles podem usar técnicas semelhantes.
    Ferramenta Software legítimo que é usado por agentes de ameaça para executar ataques. Você pode entender como os agentes de ameaça executam campanhas se souber como e quais ferramentas são usadas por agentes de ameaça. As ferramentas incluem software que não é encontrado em um sistema empresarial e software que está disponível como parte de um sistema operacional que já está presente em um ambiente, como utilitários do Microsoft Windows.

    Por exemplo, gsecdump é um descarregador de credenciais disponível publicamente que o grupo adversário do APTI1 usa para obter hashes de senha e segredos LSA (Autoridade de Segurança Local) dos sistemas operacionais Microsoft Windows.
    Malware Software comercial, personalizado de código fechado ou de código aberto que se destina a ser usado para fins mal-intencionados por adversários.

    Os exemplos são PlugX, CHOPSTICK e assim por diante
    Plataforma Táticas e técnicas que representam MITRE-ATT&CK em uma plataforma específica.

    Por exemplo, MITRE-ATT&CK é compatível com estas plataformas na matriz Enterprise ATT&CK: Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Rede.
    Fonte de dados Fontes de dados que você está coletando em seu ambiente e usando para detectar MITRE-ATT&CK técnicas.

    Os exemplos são monitoramento de dll e extensões de navegador.
    A ilustração a seguir mostra todos os filtros primários disponíveis no navegador MITRE-ATT&CK.

    Filtros primários.

    Como usar um mapa térmico com recursos primários e avançados

    Você pode usar um mapa térmico com filtros avançados para executar uma análise correlacionando incidentes de segurança com MITRE-ATT&CK informações.

    Exibir IDs de técnica

    Você pode exibir os MITRE-ATT&CK IDs de técnica com os nomes das técnicas ao selecionar o filtro Exibir IDs de técnica.

    Exibir técnicas relevantes por prioridade

    Para filtrar as técnicas com base em sua prioridade relevante no navegador, selecione Filtrar por filtro de prioridade relevante da técnica e selecione a Prioridade relevante no menu. Você pode atribuir várias prioridades para filtragem. Você também pode apontar para as técnicas no mapa térmico para saber a prioridade da técnica.

    As informações de prioridade relevantes são baseadas na priorização que você definiu no campo Prioridade relevante de técnicas.

    Exibir cobertura de detecção de técnica

    Para exibir a cobertura geral de detecção de técnica no mapa térmico, selecione o filtro Exibir cobertura de detecção de técnica. O mapa térmico destaca o espetro visual da cobertura de detecção, incluindo os pontos cegos onde você não tem cobertura. A definição de pontuação do sistema de base e as cores foram definidas na cobertura de detecção da técnica. As informações foram extraídas automaticamente da cobertura geral de detecção da técnica.

    Por exemplo, as áreas do mapa térmico marcadas em vermelho indicam falta de detecção. As áreas marcadas em azul indicam a presença de capacidades de detecção completas. As áreas marcadas em laranja, amarelo e azul claro refletem capacidades de detecção parcial.

    • A visualização de cores é baseada na definição da técnica e na codificação de cores que você define.
    • A visualização de cobertura é baseada no mapeamento de cobertura de detecção de técnica que você define.
    • Se você modificar a definição de cobertura do sistema de base, os ícones de tipo de cobertura não serão exibidos com as técnicas no mapa térmico.
      Nota:
      O mapa térmico funciona conforme o esperado quando você modifica os mesmos campos que a cobertura de detecção de técnica definida pelo sistema de base e as cores de cobertura.

    Nesta ilustração, você vê a cobertura de detecção de técnica para todas as técnicas e subtécnicas e o tipo de cobertura com suas cores e ícones.

    Exibir cobertura de mitigação da técnica

    Para exibir a cobertura geral de mitigação da técnica no mapa térmico, selecione o filtro Exibir cobertura de mitigação da técnica. O mapa térmico destaca o aspecto visual da cobertura de mitigação, incluindo áreas que você não tem cobertura. A cobertura de mitigação, as cores e os intervalos percentuais foram definidos na Definição de cobertura de mitigação. As informações são extraídas da Cobertura de mitigação da técnica geral.

    Por exemplo, as técnicas realçadas em vermelho indicam nenhuma cobertura de mitigação, laranja indica cobertura de mitigação ruim e azul indica cobertura de mitigação excelente.
    • A visualização de cores é baseada na definição de mitigação de técnica e na codificação de cores que você define.
    • A visualização da cobertura é baseada no mapeamento de cobertura de mitigação da técnica que você define.
    • Se você modificar a definição de cobertura de mitigação do sistema de base, os ícones do tipo de cobertura de mitigação não serão exibidos com as técnicas no mapa térmico.
      Nota:
      O mapa térmico funciona conforme o esperado quando você modifica os mesmos campos que a cobertura de mitigação da técnica definida pelo sistema de base e as cores de cobertura.

    Exibir cobertura de detecção e mitigação

    Você pode usar os filtros de cobertura de detecção e mitigação de técnica juntos para obter informações sobre a relevância da detecção de técnica e reduzir a cobertura para sua organização.

    Esta ilustração mostra como usar os filtros de detecção e mitigação juntos.

    Exibir grupo de ameaças

    Para exibir o grupo de ameaças para informações de técnica no mapa térmico, selecione Exibir mapa térmico do grupo de ameaças. Você pode medir o número de grupos de ameaças que estão usando uma técnica específica. A probabilidade de um ataque usando uma técnica específica aumenta quando você tem um grande número de invasores. Os intervalos do grupo de ameaças e as cores do mapa térmico foram definidos na definição do mapa térmico de técnica de grupo de ameaças.

    Exibir incidentes de segurança associados à técnica

    Para exibir as técnicas que são exploradas com frequência em sua organização e que resultaram em incidentes de segurança, clique em Exibir incidente de segurança associado à técnica. Você pode exibir mais informações sobre cada um dos incidentes de segurança associados ao clicar no link que abre em uma nova janela para análise.

    • Prioridade: selecione Prioridade do incidente de segurança para filtrar pela prioridade do incidente de segurança.
    • Intervalo de datas: selecione o Intervalo de datas do incidente de segurança para filtrar problemas de segurança pelo intervalo de datas.
    • Falsos-positivos: selecione Filtrar incidentes de segurança com falso-positivos para remover problemas com falso-positivos. A seleção deste filtro reduz o número de incidentes de segurança que você vê no mapa térmico.

    Quando você usa este filtro com o filtro Exibir cobertura de detecção de técnica, ele fornece uma visão sobre a relevância da cobertura de detecção de técnica para sua organização até a data selecionada.

    Por exemplo, ao ativar os dois filtros, você pode ver que na tática de evasão de defesa, a técnica de Mascaramento não tem cobertura. Quando você observa mais detalhadamente, a técnica de Mascaramento está relacionada à Tarefa ou Serviço de Mascaramento, que também tem um incidente de segurança associado a ele. Isso mostra que há uma lacuna na cobertura de detecção de técnica para a técnica de Mascaramento e você pode revisar a cobertura de detecção de técnica geral.

    Exibir regras de detecção

    Para ver se você tem regras de detecção definidas para uma técnica específica, clique em Exibir regras de detecção. Você também pode ver cada regra de detecção associada com sua definição.

    Essas informações são baseadas no mapeamento de regras de detecção que você definiu.

    Exibir CVEs associados à técnica

    Para exibir as informações de CVEs e vulnerabilidades comuns (CVE) associadas a cada uma das técnicas, clique em Exibir CVEs associadas à técnica. As informações de CVE para técnica são baseadas nas informações disponíveis no módulo Mapeamento de técnica de CVE. Isso fornece informações sobre vulnerabilidades conhecidas e permite que você saiba se adversários podem explorar sua organização.

    Importante:
    O mapa térmico foi aprimorado para exibir somente os CVEs relevantes associados aos VITs

    Para exibir VITs associados a CVEs e técnicas, selecione Exibir VITs associados a CVE e técnicas. Além disso, para filtrar ainda mais as técnicas sem VITs, selecione Ocultar técnicas sem VITs. As informações de CVE e VIT exibidas são obtidas do produto Resposta a vulnerabilidades em seu ambiente. Você pode exibir a lista filtrada de CVEs e VITs no mapa térmico e navegar até cada CVE ou VIT para cada técnica do mapa térmico.

    Nota:
    • A técnica Exibir CVEs associados à está disponível somente quando o produto Resposta a vulnerabilidades está instalado em seu ambiente.
    • As informações de VIT e CVE são calculadas com base no trabalho agendado definido em MITRE-ATT&CK propriedades. O trabalho de programação do sistema de base está definido para 24 horas.

    Ao usar este filtro com o filtro Exibir incidente de segurança associado à técnica, você pode saber se as vulnerabilidades conhecidas causaram incidentes de segurança em sua organização.

    Você pode exibir mais informações sobre cada CVE para analisar se o CVE é relevante para sua organização. Para fazer isso, exiba os itens de vulnerabilidade. Se os itens de vulnerabilidade forem criados, você poderá exibir mais informações sobre qualquer informação de IC associada no módulo Resposta a vulnerabilidades. Você também pode revisar a gravidade e a prioridade para tomar decisões informadas.

    Analisar incidentes de segurança

    Para analisar incidentes de segurança e revisar as técnicas usadas por um adversário para um ataque, clique em Analisar incidentes de segurança. Você pode adicionar vários incidentes de segurança para análise usando cadeias de caracteres separadas por vírgulas.

    Este filtro ajuda a analisar um incidente de segurança. Você pode saber por que o incidente ocorreu, quais técnicas foram exploradas, se algum agente de ameaça conhecido estava envolvido, se os agentes de ameaça usaram uma sequência específica para um ataque e assim por diante. Como é possível analisar vários incidentes de segurança ao mesmo tempo, você pode correlacionar as informações para ver se elas estão relacionadas ou se são um incidente isolado. Se os incidentes de segurança estiverem relacionados e você observar um padrão, poderá revisar o andamento deles na cadeia de eliminação para interromper o ataque ou para formar uma estratégia de defesa para sua organização.

    Ao usar o filtro Analisar incidentes de segurança com filtros primários, como um grupo adversário, você pode correlacionar se adversários conhecidos estiverem envolvidos. Por exemplo, quando vários incidentes de segurança estão sendo analisados, as técnicas associadas aos incidentes de segurança estão presentes na forma de uma cadeia de eliminação. Ao sobrepor as informações com o adversário, você notará uma sobreposição entre as técnicas associadas ao incidente de segurança e as técnicas associadas ao adversário. Somente as informações da técnica sobreposta serão mostradas se ambos os filtros estiverem habilitados.

    Usando sobreposição para analisar incidentes de segurança e grupos adversários

    Use o filtro Habilitar sobreposição/analisar para exibir o comportamento do adversário e analisar um ou mais dos incidentes de segurança e correlacionar as informações para ver se um ataque é um incidente isolado ou um ataque coordenado por um adversário conhecido.

    Por exemplo, agora você pode exibir os incidentes de segurança e o comportamento da cadeia de eliminação de ameaças adversárias na mesma exibição. Esta exibição fornece informações de sobreposição que informam sobre o ataque e o comportamento adversário conhecido. Isso permite que você analise se este é um ataque isolado ou um ataque coordenado por um adversário conhecido.

    Habilitar o filtro de análise de sobreposição ignora todos os filtros primários, exceto o filtro Grupo adversário, e ignora o filtro avançado Filtrar por prioridade relevante de técnica ao gerar uma exibição.

    Depois de habilitar o filtro de análise de sobreposição, use a paleta de cores para atribuir cores para o seguinte:
    • Analisar incidente de segurança
    • Grupo adversário
    • Sobreposição

    A ilustração a seguir mostra que o grupo adversário APT18 está distribuído em várias técnicas e táticas na cadeia de eliminação. A análise também mostra que há três técnicas que se sobrepõem ao grupo adversário e aos incidentes de segurança que você está rastreando.