MITRE-ATT&CK Heatmap und Navigator

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 13 Minuten Lesedauer

    • Sie können die Heatmap und den Navigator MITRE-ATT&CK für die grundlegende Navigation und zur Visualisierung Ihrer gesamten Technikerkennungsabdeckung verwenden.

    Übersicht über die Heatmap und den Navigator MITRE-ATT&CK .

    Sie können den Navigator mit den primären Filtern für die grundlegende Navigation und Beobachtung von ATT&CK-Matrizen verwenden. Die Heatmap hebt das Spektrum der Erkennungsabdeckung hervor, einschließlich der toten Winkel, in denen Ihre Organisation keine Abdeckung hat. Dies ist verfügbar, nachdem Sie die Technikerkennungsabdeckung zugeordnet haben.

    Mit der Heatmap und dem Navigator können Sie:
    • Identifizieren Sie schnell und effizient die Erkennungsfähigkeiten Ihrer Organisation, und heben Sie Lücken in der Abdeckung der Technikerkennung hervor.
    • Suchen Sie nach Bedrohungen und führen Sie eine Korrelation von Bedrohungen mithilfe der zugehörigen Funktionen durch.

    Greifen Sie auf die Heatmap und den Navigator MITRE-ATT&CK zu

    Greifen Sie auf die Heatmap und den Navigator MITRE-ATT&CK zu, um die Matrix anzuzeigen, mit der Sie ATT&CK verwenden können.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.read, sn_ti.mitre_analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Heatmap überprüfen, die Filter zur Korrelation verwenden und eine Linkanalyse der MITRE-ATT&CK Informationen, der erkennbaren Elemente und der Security Incidents in Ihrer Organisation durchführen.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Repository > Heatmap und Navigator.
      Die Heatmap und der Navigator werden in einer neuen Registerkarte geöffnet.
    2. Wählen Sie die Quelle aus, um die Heatmap auszufüllen.
      Hinweis:
      Nur die Sammlungen und Matrizen, die aktiviert wurden, werden in der Quellliste angezeigt.

      In der folgenden Abbildung sehen Sie, wie Sie zur Heatmap und zum Navigator navigieren und die Quelle auswählen, in diesem Beispiel Enterprise ATT&CK.

    3. Verwenden Sie das Suchfeld, um anhand des Namens oder der ID schnell eine bestimmte Taktik oder Technik zu finden.

      Die folgende Abbildung zeigt, wie Sie nach einer Taktik, Technik oder darin enthaltenen Informationen suchen.

    4. Klicken Sie auf Filter, und wählen Sie einen Filter aus den Filtern Primär oder Erweitert aus.
    5. Klicken Sie auf Anwenden, und steuern Sie die Filter wie folgt:
      • Erstellen Sie eine benutzerdefinierte Ansicht, um Ihre Filter zu speichern. Sie können drei benutzerdefinierte Ansichtenerstellen und speichern.
      • Um die ausgewählten Filter zu entfernen, klicken Sie auf Standardfilter wiederherstellen, um Ihre gespeicherte Standardansicht zu laden.
      • Um alle Filter und Ihre vorhandene Ansicht zu löschen, klicken Sie auf Alle Filterlöschen.
      Hinweis:
      Die Ansichten, die Sie speichern, sind spezifisch für einen Benutzer.
    6. Klicken Sie auf Untertechniken ausblenden, um alle Untertechniken aus der Heatmap-Ansicht zu entfernen.
      Wenn eine Technik über Untertechniken verfügt, können Sie auf das Erweiterungssymbol klicken, um die Untertechniken anzuzeigen.

    Verwenden der benutzerdefinierten Ansichten

    Benutzerdefinierte Ansichten in der Heatmap und im Navigator MITRE-ATT&CK helfen Ihnen, Ihre bevorzugten Filter zu speichern und anzuzeigen, wenn Sie das nächste Mal auf der Heatmap landen.

    Hinweis:
    Sie können drei benutzerdefinierte Ansichten für jede MITRE-ATT&CK -Sammlung pro Benutzer erstellen und speichern.

    Erstellen Sie eine Ansicht

    Nachdem Sie die erforderlichen Filter aus den Filtern Primär oder Erweitert ausgewählt haben, klicken Sie im Header Filter auf die Schaltfläche mit den Auslassungspunkten (…), und wählen Sie Neue Ansicht erstellen aus. Geben Sie den Namen der benutzerdefinierten Ansicht ein, und klicken Sie auf Ansicht speichern.

    Standardansichten

    Klicken Sie auf Save this as a default view (Als Standardansicht speichern), um die Ansicht direkt zu laden, wenn Sie das nächste Mal auf der Heatmap landen. Sie können für jede der Sammlungen eine Standardansicht festlegen.

    Hinweis:
    Wenn Sie das Plugin Threat Intelligence von einer älteren Version aktualisieren, wird Ihre vorhandene Standardansicht aus der alten Version als benutzerdefinierte Ansicht angezeigt.

    Aktualisieren Sie eine Ansicht

    Sie können Aktualisierungen an einer vorhandenen benutzerdefinierten Ansicht vornehmen, indem Sie die erforderlichen Filter Primär oder Erweitert ändern. Wählen Sie eine benutzerdefinierte Ansicht aus, aktualisieren Sie die Filter nach Bedarf, klicken Sie dann im Header Filter auf die Schaltfläche mit den Auslassungspunkten (…), und wählen Sie Ansicht aktualisieren aus, um die Filter zu speichern.

    Benutzerdefinierte Ansichten verwalten

    Verwenden Sie die Kontrollkästchen neben jeder benutzerdefinierten Ansicht, um den ausgewählten benutzerdefinierten Ansichtsfilter anzuwenden.

    Klicken Sie auf die Schaltfläche mit den Auslassungspunkten (…) neben jedem benutzerdefinierten Ansichtsnamen, um die benutzerdefinierten Ansichten wie folgt zu steuern:
    • Legen Sie eine Standardansicht fest.
    • Entfernen Sie eine benutzerdefinierte Ansicht als Standardansicht. Dadurch wird die benutzerdefinierte Ansicht nicht gelöscht.
    • Benennen Sie die benutzerdefinierte Ansicht um.
    • Löschen Sie die benutzerdefinierte Ansicht.

    Exportieren Sie eine gespeicherte Ansicht

    Um die gespeicherten benutzerdefinierten Ansichten in JSON-Dateien zu exportieren, klicken Sie im Header Filter auf Auslassungspunkte (…), und wählen Sie GespeicherteAnsichten exportieren aus. Klicken Sie auf das Download-Symbol für die benutzerdefinierte Ansicht, die Sie auf Ihren lokalen Computer herunterladen möchten.

    Importieren Sie eine Ansicht

    Sie können nur JSON-Dateien importieren. Um die benutzerdefinierten Ansichten zu importieren, klicken Sie im Header Filter auf die Schaltfläche mit den Auslassungspunkten (…), und wählen Sie Import view(json) aus.

    Überprüfen Sie beim Importieren von Ansichten die folgenden Bedingungen:
    • Sie können nur das JSON-Dateiformat importieren.
    • Sie können jeweils nur eine Ansicht oder Datei importieren.
    • Sie können nicht importieren, wenn Ihre Filter bereits drei benutzerdefinierte Ansichten enthalten. Löschen Sie eine benutzerdefinierte Ansicht, und importieren Sie eine Ansicht.
    • Sie können keine Ansicht mit einem vorhandenen benutzerdefinierten Ansichtsnamen importieren. Benennen Sie eine Ansicht vor dem Import um.

    Navigator mit primären Filtern

    Verwenden Sie die primären Filter, um Techniken im MITRE-ATT&CK -Navigator zu filtern. Die Informationen im Repository MITRE-ATT&CK stehen zur Auswahl.

    Filter Beschreibung
    Angreifergruppe (Bedrohungsgruppe) Sätze zugehöriger Angriffsaktivitäten, die in der Sicherheits-Community unter einem gemeinsamen Namen nachverfolgt werden. Gruppen können verschiedene Bedrohungsgruppen, Aktivitätsgruppen, Bedrohungsakteure, Angriffssätze und Kampagnen bedeuten. Sie können dem Filter „Angreifergruppe (Bedrohungsgruppe)“ mehrere Gruppen hinzufügen.

    Fügen Sie beispielsweise APT1 und AT12 hinzu, da beide Bedrohungsgruppen sind, die China zugeordnet sind. Beide Gruppen zielen zwar auf unterschiedliche Quellen ab, könnten jedoch ähnliche Techniken verwenden.
    Tool Legitime Software, die von Bedrohungsakteuren für Angriffe verwendet wird. Sie können verstehen, wie Bedrohungsakteure Kampagnen ausführen, wenn Sie wissen, wie und welche Tools von Bedrohungsakteuren verwendet werden. Tools umfassen sowohl Software, die nicht auf einem Unternehmenssystem gefunden wird, als auch Software, die als Teil eines Betriebssystems verfügbar ist, das bereits in einer Umgebung wie Microsoft Windows-Dienstprogramme vorhanden ist.

    Zum Beispiel ist gsecdump ein öffentlich verfügbarer Dumper für Anmeldeinformationen, den die APTI1-Angreifergruppe verwendet, um Passwort-Hashes und LSA-Geheimnisse (Local Security Authority) von Microsoft Windows-Betriebssystemen zu erhalten.
    Malware Kommerzielle, benutzerdefinierte Closed Source- oder Open Source-Software, die von Angreifern für böswillige Zwecke verwendet werden soll.

    Beispiele sind PlugX, CHOPSTICK usw
    Plattform Taktiken und Techniken, die MITRE-ATT&CK in einer bestimmten Plattform darstellen.

    Beispielsweise unterstützt MITRE-ATT&CK die folgenden Plattformen in der Enterprise ATT&CK-Matrix: Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Network.
    Datenquelle Datenquellen, die Sie in Ihrer Umgebung sammeln und zur Erkennung von MITRE-ATT&CK -Techniken verwenden.

    Beispiele sind DLL-Überwachung und Browsererweiterungen.
    Die folgende Abbildung zeigt alle primären Filter, die im MITRE-ATT&CK -Navigator verfügbar sind.

    Primäre Filter

    Verwenden einer Heatmap mit primären und erweiterten Funktionen

    Sie können eine Heatmap mit erweiterten Filtern verwenden, um eine Analyse durchzuführen, indem Sie Security Incidents mit MITRE-ATT&CK Informationen korrelieren.

    Zeigen Sie Technik-IDs an

    Sie können die MITRE-ATT&CK Technik-IDs mit den Techniknamen anzeigen, wenn Sie den Filter Technik-IDs anzeigen auswählen.

    Zeigen Sie relevante Techniken nach Priorität an

    Um die Techniken basierend auf ihrer relevanten Priorität im Navigator zu filtern, wählen Sie Filter nach relevanter Priorität für Technik und dann im Menü die relevante Priorität aus. Sie können mehrere Filterprioritäten zuweisen. Sie können auch auf die Techniken in der Heatmap verweisen, um die Priorität der Technik zu erfahren.

    Die relevanten Prioritätsinformationen basieren auf der Priorisierung, die Sie im Feld Technik relevante Priorität festgelegt haben.

    Zeigen Sie die Abdeckung der Technikerkennung an

    Um die gesamte Technikerkennungsabdeckung in der Heatmap anzuzeigen, wählen Sie den Filter Technikerkennungsabdeckung anzeigen aus. Die Heatmap hebt das visuelle Spektrum der Erkennungsabdeckung hervor, einschließlich der toten Winkel, in denen Sie keine Abdeckung haben. Die Bewertungsdefinition des Basissystems und die Farben wurden in der Technikerkennungsabdeckungdefiniert. Die Informationen wurden automatisch aus der gesamten Technikerkennungsabdeckung extrahiert.

    Beispielsweise weisen rot markierte Bereiche der Heatmap auf eine fehlende Erkennung hin. Bereiche, die blau markiert sind, zeigen an, dass vollständige Erkennungsfunktionen vorhanden sind. Bereiche, die in Orange, Gelb und Hellblau markiert sind, spiegeln teilweise Erkennungsfähigkeiten wider.

    • Die Farbvisualisierung basiert auf der Technikdefinition und Farbcodierung, die Sie definieren.
    • Die Abdeckungsvisualisierung basiert auf der von Ihnen definierten Zuordnung der Technikerkennungsabdeckung.
    • Wenn Sie die Abdeckungsdefinition des Basissystems ändern, werden die Symbole für den Abdeckungstyp nicht mit den Techniken in der Heatmap angezeigt.
      Hinweis:
      Die Heatmap funktioniert wie erwartet, wenn Sie dieselben Felder wie die im Basissystem definierte Technikerkennungsabdeckung und die Abdeckungsfarben ändern.

    In dieser Abbildung sehen Sie die Technikerkennungsabdeckung für alle Techniken und Untertechniken und den Abdeckungstyp mit ihren Farben und Symbolen.

    Zeigen Sie die Abdeckung der Technikminderung an

    Um die allgemeine Technikminderungsabdeckung in der Heatmap anzuzeigen, wählen Sie den Filter Technikminderungsabdeckung anzeigen aus. Die Heatmap hebt das visuelle Spektrum der Abdeckung durch Risikominderung hervor, einschließlich der Bereiche, die Sie nicht abdecken. Die Verringerungsabdeckung, die Farben und die Prozentbereiche wurden in der Definitionder Verringerungsabdeckung definiert. Die Informationen werden aus der Gesamtabdeckung der Technikminderungextrahiert.

    Zum Beispiel zeigen rot hervorgehobene Techniken keine Verringerungsabdeckung an, Orange zeigt eine schlechte Verringerungsabdeckung an und Blau zeigt eine hervorragende Verringerungsabdeckung an.
    • Die Farbvisualisierung basiert auf der Definition der Technik zur Risikoverringerung und der Farbcodierung, die Sie definieren.
    • Die Abdeckungsvisualisierung basiert auf der von Ihnen definierten Technikverringerungsabdeckungszuordnung.
    • Wenn Sie die Definition der Basissystem-Abdeckung für Risikominderung ändern, werden die Symbole für den Typ der Risikominderungsabdeckung nicht mit den Techniken in der Heatmap angezeigt.
      Hinweis:
      Die Heatmap funktioniert wie erwartet, wenn Sie dieselben Felder wie die im Basissystem definierte Technik-Minderungsabdeckung und die Abdeckungsfarben ändern.

    Zeigen Sie die Erkennungs- und Verringerungsabdeckung an

    Sie können die Filter „Technikerkennung“ und „Technikminderungsabdeckung“ zusammen verwenden, um Einblicke in die Relevanz der Technikerkennung zu erhalten und die Abdeckung für Ihre Organisation zu verringern.

    Diese Abbildung zeigt, wie Erkennungs- und Verringerungsfilter zusammen verwendet werden.

    Zeigen Sie die Bedrohungsgruppe an

    Um die Bedrohungsgruppe zu Technikinformationen in der Heatmap anzuzeigen, wählen Sie Heatmap der Bedrohungsgruppe anzeigen aus. Sie können die Anzahl der Bedrohungsgruppen messen, die eine bestimmte Technik verwenden. Die Wahrscheinlichkeit eines Angriffs mit einer bestimmten Technik steigt, wenn die Anzahl der Angreifer hoch ist. Die Bedrohungsgruppenbereiche und Heatmap-Farben wurden in der Heatmap -Definition der Bedrohungsgruppe – Technikdefiniert.

    Zeigen Sie Security Incidents an, die der Technik zugeordnet sind

    Um die Techniken anzuzeigen, die in Ihrer Organisation häufig genutzt werden und zu Security Incidents geführt haben, klicken Sie auf Security Incident anzeigen, der der Technik zugeordnetist. Sie können weitere Informationen zu jedem der zugehörigen Security Incidents anzeigen, wenn Sie auf den Link klicken, der in einem neuen Fenster zur Analyse geöffnet wird.

    • Priorität: Wählen Sie Security Incident Priority (Security Incident-Priorität) aus, um nach der Security Incident-Priorität zu filtern.
    • Datumsbereich: Wählen Sie den Datumsbereich für Security Incident aus, um Sicherheitsprobleme nach dem Datumsbereich zu filtern.
    • Falsch positive Meldungen: Wählen Sie Security Incident Falsch positive Meldungen filtern aus, um falsch positive Probleme zu entfernen. Wenn Sie diesen Filter auswählen, wird die Anzahl der Security Incidents reduziert, die in der Heatmap angezeigt werden.

    Wenn Sie diesen Filter mit dem Filter „ Technikerkennungsabdeckung anzeigen “ verwenden, erhalten Sie Einblicke in die Relevanz der Technikerkennungsabdeckung für Ihre Organisation bis zum ausgewählten Datum.

    Wenn Sie beispielsweise beide Filter aktivieren, können Sie sehen, dass die Maskierungstechnik unter der Taktik „Defense Evasion“ keine Abdeckung hat. Wenn Sie genauer hinschauen, bezieht sich die Maskierungstechnik auf die Maskierungsaufgabe oder den Service, der auch ein Security Incident zugeordnet ist. Dies zeigt, dass in der Technikerkennungsabdeckung für die Maskierungstechnik eine Lücke besteht, und Sie sollten die allgemeine Technikerkennungsabdeckung überarbeiten.

    Zeigen Sie Erkennungsregeln an

    Um anzuzeigen, ob Sie die Erkennungsregeln für eine bestimmte Technik definiert haben, klicken Sie auf Erkennungsregeln anzeigen. Sie können auch jede zugeordnete Erkennungsregel mit ihrer Definition anzeigen.

    Diese Informationen basieren auf der Zuordnung der Erkennungsregeln, die Sie definiert haben.

    Zeigen Sie CVEs an, die der Technik zugeordnet sind

    Um die Informationen zu allgemeinen Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVE) anzuzeigen, die jeder der Techniken zugeordnet sind, klicken Sie auf CVEs anzeigen, die der Technik zugeordnet sind. Die CVE-zu-Technik-Informationen basieren auf den Informationen, die im Modul „CVE – Technikzuordnung“verfügbar sind. Dies gibt Ihnen Einblick in bekannte Schwachstellen und informiert Sie darüber, ob Angreifer Ihre Organisation potenziell ausnutzen können.

    Wichtig:
    Die Heatmap wurde so erweitert, dass nur die relevanten CVEs angezeigt werden, die den VITs zugeordnet sind

    Um VITs anzuzeigen, die mit CVEs und Techniken verknüpft sind, wählen Sie VITs mit CVE und Techniken anzeigen aus. Um Techniken ohne VITs weiter zu filtern, wählen Sie Techniken ohne VITs ausblenden aus. Die CVE- und VIT-Informationen, die Sie anzeigen, werden aus dem Produkt Vulnerability Response in Ihrer Umgebung abgerufen. Sie können die gefilterte Liste der CVEs und VITs in der Heatmap anzeigen und in der Heatmap zu jedem CVE oder VIT für jede Technik navigieren.

    Hinweis:
    • Die Technik „Zugehörige CVEs anzeigen“ ist nur verfügbar, wenn das Produkt Vulnerability Response in Ihrer Umgebung installiert ist.
    • Die VIT- und CVE-Informationen werden basierend auf der geplanten Aufgabe berechnet, die Sie im festgelegt haben MITRE-ATT&CK Eigenschaften. Die regelmäßige Aufgabe des Basissystems ist auf 24 Stunden festgelegt.

    Wenn Sie diesen Filter mit dem Filter „ Security Incident in Verbindung mit Technik anzeigen “ verwenden, können Sie ermitteln, ob die bekannten Schwachstellen Security Incidents in Ihrer Organisation verursacht haben.

    Sie können weitere Informationen zu jedem CVE anzeigen, um zu analysieren, ob das CVE für Ihre Organisation relevant ist. Zeigen Sie dazu die angreifbaren Elemente an. Wenn angreifbare Elemente erstellt werden, können Sie weitere Informationen zu zugehörigen CI-Informationen im Modul Vulnerability Response anzeigen. Sie können auch den Schweregrad und die Priorität überprüfen, um fundierte Entscheidungen zu treffen.

    Analysieren von Security Incidents

    Um Security Incidents zu analysieren und die Techniken zu überprüfen, die von einem Angreifer für einen Angriff verwendet werden, klicken Sie auf Security Incidents analysieren. Sie können mehrere Security Incidents zur Analyse hinzufügen, indem Sie durch Kommas getrennte Zeichenfolgen verwenden.

    Dieser Filter hilft Ihnen, einen Security Incident zu analysieren. Sie erfahren, warum der Incident aufgetreten ist, welche Techniken ausgenutzt wurden, ob bekannte Bedrohungsakteure beteiligt waren, ob die Bedrohungsakteure eine bestimmte Sequenz für einen Angriff verwendet haben usw. Da Sie mehrere Security Incidents gleichzeitig analysieren können, können Sie die Informationen korrelieren, um festzustellen, ob sie zusammenhängen oder ob es sich um einen isolierten Incident handelt. Wenn die Security Incidents zusammenhängen und Sie ein Muster beobachten, können Sie ihren Fortschritt in der Kill Chain überprüfen, um den Angriff zu stoppen oder eine Verteidigungsstrategie für Ihre Organisation zu entwickeln.

    Wenn Sie den Filter Security Incidents analysieren mit primären Filtern verwenden, z. B. einer Angreifergruppe, können Sie korrelieren, ob bekannte Angreifer beteiligt sind. Wenn beispielsweise mehrere Security Incidents analysiert werden, sind die Techniken, die den Security Incidents zugeordnet sind, in Form einer Kill Chain vorhanden. Wenn Sie die Informationen mit dem Angreifer überschneiden, werden Sie eine Überschneidung zwischen den Techniken, die dem Security Incident zugeordnet sind, und den Techniken, die dem Angreifer zugeordnet sind, feststellen. Wenn beide Filter aktiviert sind, werden nur die überlappenden Technikinformationen angezeigt.

    Überlagerung zur Analyse von Security Incidents und Angreifergruppen verwenden

    Verwenden Sie den Filter Überlagerung/Analysieren aktivieren, um das Verhalten des Angreifers anzuzeigen und einen oder mehrere der Security Incidents zu analysieren und die Informationen zu korrelieren, um festzustellen, ob es sich bei einem Angriff um einen isolierten Incident oder einen koordinierten Angriff eines bekannten Angreifers handelt.

    Beispielsweise können Sie jetzt die Security Incidents und das Verhalten des Angreifers in der Kill Chain in derselben Ansicht anzeigen. Diese Ansicht enthält Überschneidungsinformationen, die Sie über den Angriff und das bekannte Angreiferverhalten informieren. Auf diese Weise können Sie analysieren, ob es sich um einen isolierten Angriff oder einen koordinierten Angriff eines bekannten Angreifers handelt.

    Durch Aktivieren des Overlay-Analysefilters werden alle primären Filter mit Ausnahme des Angreifergruppenfilters und der erweiterte Filter Nach technikrelevanter Priorität filtern beim Generieren einer Ansicht ignoriert.

    Sobald Sie den Überlagerungsanalysefilter aktiviert haben, verwenden Sie die Farbpalette, um Farben für Folgendes zuzuweisen:
    • Analysieren Sie den Security Incident
    • Angreifergruppe
    • Überlagerung

    Die folgende Abbildung zeigt, dass die Angreifergruppe APT18 über mehrere Techniken und Taktiken in der Kill Chain verteilt ist. Die Analyse zeigt auch, dass es drei Techniken gibt, die die Angreifergruppe und die Security Incidents, die Sie nachverfolgen, überlagern.