MITRE-ATT&CK Vue d’ensemble du cadre de travail

Rversion finale: Xanadu

Mis à jour 1 août 2024

3 minutes de lecture

Le MITRE-ATT&CK cadre de travail est une base de connaissances des tactiques, des techniques et des procédures courantes (TTP) auxquelles votre organisation peut accéder pour développer des modèles de menaces et des méthodologies spécifiques contre les cyberattaques.

Vue d'ensemble

Le MITRE cadre de travail ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) documente et suit les différentes techniques des adversaires qui sont utilisées au cours des différentes étapes d’une cyberattaque.

En utilisant la MITRE-ATT&CK base de connaissances du cadre, la communauté des renseignements sur les cybermenaces peut rapidement identifier les menaces et coordonner les réponses aux cyberattaques.

MITRE-ATT&CK et Security Operations

Consultez le diagramme suivant pour savoir comment les informations circulent avec Opérations de sécurité les MITRE-ATT&CK applications.

Comment MITRE ATT&CK fonctionne avec les applications Security Operations.

Le champ préchargé TAXII client se connecte au TAXII serveur pour ingérer les collections de données vers Renseignements sur les menaces.
Les intégrations SIEM (Security Information and Event Manager) existantes ingèrent leurs données sur les menaces (alertes et événements) avec des TTP pertinents et sont associées à des incidents de sécurité.
Lorsqu’un IoC est associé à un incident de sécurité, Renseignements sur les menaces recherche automatiquement des informations pertinentes dans les flux de menaces et envoie les IoC à des sources tierces telles que EDR, Sandbox ou TIP pour une analyse supplémentaire.
Si une source tierce contient l’information MITRE-ATT&CK , Renseignements sur les menaces Extrait les informations sur la technique et enrichit les données du référentiel à des Renseignements sur les menaces fins de corrélation et d’analyse.
MITRE-ATT&CK partage également des informations de contexte CVE pour chaque technique. Votre équipe de sécurité peut examiner les techniques Réponse aux vulnérabilités exploitées afin de déterminer si vos actifs critiques sont menacés.

MITRE-ATT&CK Matrices, tactiques et techniques

Le cœur du MITRE-ATT&CK cadre est une matrice de tactiques et de techniques de l’adversaire. La séquence de la tactique représente ce qu’un adversaire tente d’accomplir au stade d’un incident. Lorsque votre équipe de sécurité comprend cette séquence, vous avez la possibilité d’anticiper le prochain mouvement d’un adversaire et de briser la chaîne de destruction. ATT&CK se compose des matrices suivantes :

ATT&CK d’entreprise : décrit les comportements et les actions qu’un adversaire adopte pour compromettre et opérer dans un réseau d’entreprise et dans le cloud.
Remarque :
La matrice pré-ATT&CK a été déconseillée par MITRE la matrice Enterprise et a été fusionnée avec elle.
ICS ATT&CK : décrit les actions qu’un adversaire effectue lorsqu’il opère au sein d’un réseau de systèmes de contrôle industriel (ICS).
Mobile ATT&CK : décrit les comportements et les actions des adversaires qui se concentrent sur les équipements mobiles.

La tactique représente le pourquoi d’une technique ATT&CK. C’est l’objectif tactique de l’adversaire pour effectuer une action.

Les techniques représentent la façon dont un adversaire atteint un objectif tactique en effectuant une action.

Les techniques peuvent être associées à plus d’une tactique. Par exemple, la manipulation des jetons d’accès est utilisée par un adversaire pour utiliser la tactique d’escalade de privilèges ou d’évasion de défense.

Utilisation d’une approche basée sur l’intention pour les réponses aux incidents

Une réponse basée sur l’intention utilise un cadre de kill chain dynamique et contextuel qui peut aider votre organisation à corréler les incidents de sécurité et à identifier un large éventail d’attaques. Votre équipe de sécurité peut utiliser une réponse basée sur l’intention pour comprendre comment l’organisation est attaquée et ce que l’attaquant pourrait faire ensuite. Ce type de réponse vous permet de prédire le comportement d’un attaquant afin de concentrer efficacement vos ressources.

À l’aide Réponse aux incidents de sécuritéde , votre équipe de sécurité peut gérer le cycle de vie de chaque incident de sécurité, de l’analyse au confinement, en se concentrant sur les indicateurs de compromission (IOC) tels que les adresses IP, les hachages de fichiers et les domaines.

Grâce à leur intégration Réponse aux incidents de sécurité au cadre de travail, les incidents de sécurité sont traités comme des liens dans une attaque plus vaste à l’échelle de l’entreprise MITRE-ATT&CK .

Comment votre organisation peut-elle bénéficier de MITRE-ATT&CK Security Operations ?

Avantages de l’utilisation de MITRE ATT&CK

L’utilisation du MITRE-ATT&CK cadre de travail peut aider votre organisation à effectuer les opérations suivantes :

Équipez les analystes de sécurité de MITRE-ATT&CK tactiques, de techniques et de procédures (TTP) pour mieux analyser les incidents de sécurité et y répondre.
Automatisez les workflows d’incident à l’aide du playbook pour détecter et contenir les menaces dans le MITRE-ATT&CK contexte du cadre de travail.
Hiérarchisez les indicateurs de compromission et la chasse aux menaces à l’aide MITRE-ATT&CK d’informations.
Comprenez la posture de sécurité de haut niveau de votre organisation dans le MITRE-ATT&CK contexte du cadre de travail.