MITRE-ATT&CK Carte thermique et navigateur

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 16 minutes de lecture

    • Vous pouvez utiliser la carte thermique et le MITRE-ATT&CK navigateur pour une navigation de base et pour visualiser votre couverture globale de détection de technique.

    Vue d’ensemble de la MITRE-ATT&CK carte thermique et du navigateur

    Vous pouvez utiliser le navigateur avec les filtres primaires pour la navigation de base et l’observation des matrices ATT&CK. La carte thermique met en évidence le spectre de la couverture de détection, y compris les angles morts où votre organisation n’a aucune couverture. Cette valeur est disponible une fois que vous avez mappé la couverture de détection de la technique.

    Avec la carte thermique et le navigateur, vous pouvez :
    • Identifiez rapidement et efficacement les options de détection de votre organisation et mettez en évidence les lacunes dans la couverture de détection des techniques.
    • Recherchez les menaces et effectuez une corrélation des menaces à l’aide des fonctionnalités associées.

    Accéder à la carte thermique et au MITRE-ATT&CK navigateur

    Accédez à la carte thermique et au MITRE-ATT&CK navigateur pour visualiser la matrice qui vous permet d’utiliser ATT&CK.

    Avant de commencer

    Rôle requis : sn_ti.read, sn_ti.mitre_analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez examiner la carte thermique, utiliser les filtres pour corréler et effectuer une analyse des liens des informations, des observables et des incidents de MITRE-ATT&CK sécurité dans votre organisation.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Référentiel MITRE ATT&CK > Carte thermique et navigateur.
      La carte thermique et le navigateur s’ouvrent dans un nouvel onglet.
    2. Sélectionnez la source pour remplir la carte thermique.
      Remarque :
      Seules les collections et les matrices qui ont été activées apparaissent dans la liste source.

      Dans l’illustration suivante, vous voyez comment accéder à la carte thermique et au navigateur, et comment sélectionner la source, qui est Enterprise ATT&CK dans cet exemple.

    3. Utilisez le champ de recherche pour trouver rapidement une tactique ou une technique particulière en utilisant son nom ou son ID.

      L’illustration suivante montre comment rechercher une tactique, une technique ou toute information qu’elles contiennent.

    4. Cliquez sur Filtres et sélectionnez un filtre parmi les filtres primaires ou avancés .
    5. Cliquez sur Appliquer et contrôlez les filtres comme suit :
      • Pour enregistrer vos filtres, créez une vue personnalisée. Vous pouvez créer et enregistrer trois vues personnalisées.
      • Pour supprimer les filtres sélectionnés, cliquez sur Restaurer les filtres par défaut pour charger votre vue enregistrée par défaut.
      • Pour effacer tous les filtres et votre vue existante, cliquez sur Effacer tous les filtres.
      Remarque :
      Les vues que vous enregistrez sont spécifiques à un utilisateur.
    6. Cliquez sur Masquer les sous-techniques pour supprimer toutes les sous-techniques de la vue de la carte thermique.
      Si une technique possède des sous-techniques, vous pouvez cliquer sur l’icône de développement pour afficher les sous-techniques.

    Utilisation des vues personnalisées

    Les vues personnalisées de la carte thermique et du MITRE-ATT&CK navigateur vous aident à enregistrer et à afficher vos filtres favoris la prochaine fois que vous accéderez à la carte thermique.

    Remarque :
    Vous pouvez créer et enregistrer trois vues personnalisées pour chaque MITRE-ATT&CK collection par utilisateur.

    Créer une vue

    Une fois que vous avez sélectionné les filtres requis dans les filtres primaires ou avancés , cliquez sur le bouton représentant des points de suspension (...) dans l’en-tête Filtres, puis sélectionnez Créer une vue. Entrez le nom de la vue personnalisée et enregistrez la vue.

    Vues par défaut

    Cliquez sur Enregistrer ceci en tant que vue par défaut pour charger directement la vue la prochaine fois que vous atterrirez sur la carte thermique. Vous pouvez définir une vue par défaut pour chacune des collections.

    Remarque :
    Si vous mettez à niveau le module d’extension Renseignements sur les menaces à partir d’une version antérieure, votre vue par défaut existante à partir de l’ancienne version apparaît sous forme de vue personnalisée.

    Mettre à jour une vue

    Vous pouvez mettre à jour une vue personnalisée existante en modifiant les filtres primaires ou avancés requis. Sélectionnez une vue personnalisée, mettez à jour les filtres selon vos besoins, puis cliquez sur le bouton représentant des points de suspension (...) dans l’en-tête Filtres, puis sélectionnez Mettre à jour la vue pour enregistrer les filtres.

    Gérer les vues personnalisées

    Utilisez les cases à cocher en regard de chaque vue personnalisée pour appliquer le filtre de vue personnalisée sélectionné.

    Cliquez sur le bouton représentant des points de suspension (...) en regard de chaque nom de vue personnalisée pour contrôler les vues personnalisées comme suit :
    • Définissez une vue par défaut.
    • Supprimez une vue personnalisée comme vue par défaut. Cela ne supprime pas la vue personnalisée.
    • Renommez la vue personnalisée.
    • Supprimez la vue personnalisée.

    Exporter une vue enregistrée

    Pour exporter les vues personnalisées enregistrées vers des fichiers JSON, cliquez sur des points de suspension (...) dans l’en-tête Filtres et sélectionnez Exporter les vues enregistrées. Cliquez sur l’icône de téléchargement de la vue personnalisée que vous souhaitez télécharger sur votre ordinateur local.

    Importer une vue

    Vous ne pouvez importer que des fichiers JSON. Pour importer les vues personnalisées, cliquez sur le bouton Points de suspension (...) dans l’en-tête Filtres et sélectionnez Importer la vue (json).

    Examinez les conditions suivantes lors de l’importation des vues :
    • Vous ne pouvez importer qu’au format de fichier JSON.
    • Vous ne pouvez importer qu’une seule vue ou un seul fichier à la fois.
    • Vous ne pouvez pas importer si vous avez déjà trois vues personnalisées dans vos filtres. Supprimez une vue personnalisée et importez une vue.
    • Vous ne pouvez pas importer une vue avec un nom de vue personnalisé existant. Renommez une vue avant d’importer.

    Navigateur avec filtres primaires

    Utilisez les filtres primaires pour filtrer les techniques dans le MITRE-ATT&CK navigateur. Les informations contenues dans le référentiel sont disponibles à la MITRE-ATT&CK sélection.

    Filtre Description
    Groupe d’adversaires (groupe de menaces) Ensembles d’activités d’intrusion connexes qui sont suivis par un nom commun dans la communauté de sécurité. Les groupes peuvent désigner divers groupes de menaces, groupes d’activités, acteurs de menace, ensembles d’intrusions et campagnes. Vous pouvez ajouter plusieurs groupes au filtre Groupe d’adversaires (Groupe de menaces ).

    Par exemple, vous ajoutez APT1 et AT12, car il s’agit de deux groupes de menaces attribués à la Chine. Bien que les deux groupes puissent cibler des sources différentes, ils peuvent utiliser des techniques similaires.
    Outil Logiciel légitime utilisé par les auteurs de menace pour effectuer des attaques. Pour comprendre comment les auteurs de menace exécutent leurs campagnes, vous devez savoir comment et quels outils sont utilisés par les auteurs de menace. Outils comprend à la fois les logiciels qui ne se trouvent pas sur un système d’entreprise et les logiciels qui sont disponibles dans le cadre d’un système d’exploitation déjà présent dans un environnement tel que les utilitaires Microsoft Windows.

    Par exemple, gsecdump est un dumper d’informations d’identification accessible au public que le groupe adverse APTI1 utilise pour obtenir des hachages de mots de passe et des secrets LSA (Local Security Authority) à partir des systèmes d’exploitation Microsoft Windows.
    Programme malveillant Logiciel commercial, fermé personnalisé ou open source destiné à être utilisé à des fins malveillantes par des adversaires.

    Par exemple, PlugX, CHOPSTICK, etc
    Plateforme Tactiques et techniques représentées MITRE-ATT&CK dans une plateforme particulière.

    Par exemple, MITRE-ATT&CK prend en charge ces plateformes dans la matrice ATT&CK d’entreprise : Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Network.
    Source de données Sources de données que vous collectez dans votre environnement et que vous utilisez pour détecter MITRE-ATT&CK des techniques.

    Il peut s’agir, par exemple, de la surveillance des DLL et des extensions de navigateur.
    L’illustration suivante montre tous les filtres primaires disponibles dans le MITRE-ATT&CK navigateur.

    Filtres primaires.

    Utilisation d’une carte thermique avec des fonctionnalités primaires et avancées

    Vous pouvez utiliser une carte thermique avec des filtres avancés pour effectuer une analyse en corrélant les incidents de sécurité avec MITRE-ATT&CK des informations.

    Afficher les ID de technique

    Vous pouvez afficher les MITRE-ATT&CK ID de techniques avec les noms de techniques lorsque vous sélectionnez le filtre Afficher les ID de techniques .

    Afficher les techniques pertinentes par priorité

    Pour filtrer les techniques en fonction de leur priorité pertinente dans le navigateur, sélectionnez Filtrer par filtre de priorité pertinente de technique et sélectionnez la priorité pertinente dans le menu. Vous pouvez affecter plusieurs priorités pour le filtrage. Vous pouvez également pointer vers les techniques de la carte thermique pour connaître la priorité de la technique.

    Les informations de priorité pertinentes sont basées sur l’ordre de priorité que vous avez défini dans le champ Priorité pertinente des techniques .

    Afficher la couverture de détection technique

    Pour afficher la couverture globale de détection de technique dans la carte thermique, sélectionnez le filtre Afficher la couverture de détection de technique . La carte thermique met en évidence le spectre visuel de la couverture de détection, y compris les angles morts où vous n’avez aucune couverture. La définition de notation du système de base et les couleurs ont été définies dans la couverture de détection de technique. Les informations ont été extraites automatiquement de la couverture globale de détection de la technique.

    Par exemple, les zones de la carte thermique marquées en rouge indiquent un manque de détection. Les zones marquées en bleu indiquent la présence de fonctionnalités de détection complètes. Les zones marquées en orange, jaune et bleu clair reflètent des capacités de détection partielles.

    • La visualisation des couleurs est basée sur la définition de technique et le codage couleur que vous définissez.
    • La visualisation de la couverture est basée sur le mappage de couverture de détection de technique que vous définissez.
    • Si vous modifiez la définition de couverture du système de base, les icônes Type de couverture ne s’affichent pas avec les techniques de la carte thermique.
      Remarque :
      La carte thermique fonctionne comme prévu lorsque vous modifiez les mêmes champs que la couverture de détection de technique définie par le système de base et les couleurs de couverture.

    Dans cette illustration, vous voyez la couverture de détection de technique pour toutes les techniques et sous-techniques et le type de couverture avec leurs couleurs et icônes.

    Afficher la couverture de l’atténuation de la technique

    Pour afficher la couverture globale de l’atténuation de la technique dans la carte thermique, sélectionnez le filtre Afficher la couverture de l’atténuation de la technique. La carte thermique met en évidence le spectre visuel de la couverture d’atténuation, y compris les zones que vous n’avez pas de couverture. La couverture d’atténuation, les couleurs et les plages de pourcentage ont été définies dans la définition de couverture d’atténuation. Les informations sont extraites de la couverture globale de l’atténuation des techniques.

    Par exemple, les techniques surlignées en rouge indiquent une absence de couverture d’atténuation, l’orange indique une mauvaise couverture d’atténuation et le bleu indique une excellente couverture d’atténuation.
    • La visualisation des couleurs est basée sur la définition d’atténuation de technique et le codage couleur que vous définissez.
    • La visualisation de la couverture est basée sur le mappage de couverture d’atténuation de technique que vous définissez.
    • Si vous modifiez la définition de couverture d’atténuation du système de base, les icônes Type de couverture d’atténuation ne s’affichent pas avec les techniques de la carte thermique.
      Remarque :
      La carte thermique fonctionne comme prévu lorsque vous modifiez les mêmes champs que la couverture d’atténuation de technique et les couleurs de couverture définies par le système de base.

    Afficher la couverture de détection et d’atténuation

    Vous pouvez utiliser les filtres de couverture de détection de technique et d’atténuation de technique pour obtenir un aperçu de la pertinence de la détection de technique et atténuer la couverture pour votre organisation.

    Cette illustration montre comment utiliser simultanément les filtres de détection et d’atténuation.

    Afficher le groupe de menaces

    Pour afficher les informations sur le groupe de menaces à la technique sur la carte thermique, sélectionnez Afficher la carte thermique du groupe de menaces. Vous pouvez mesurer le nombre de groupes de menaces qui utilisent une technique particulière. La probabilité d’une attaque utilisant une technique particulière augmente lorsque vous avez un nombre élevé d’attaquants. Les groupes de menaces, les plages et les couleurs de la carte thermique ont été définis dans la définition de la carte thermique des groupes de menaces et de la technique.

    Afficher les incidents de sécurité associés à la technique

    Pour afficher les techniques fréquemment exploitées dans votre organisation et qui ont entraîné des incidents de sécurité, cliquez sur Afficher l’incident de sécurité associé à la technique. Vous pouvez afficher plus d’informations sur chacun des incidents de sécurité associés en cliquant sur le lien qui s’ouvre dans une nouvelle fenêtre pour analyse.

    • Priorité : sélectionnez la priorité de l’incident de sécurité pour filtrer par priorité d’incident de sécurité.
    • Plage de dates : sélectionnez la plage de dates de l’incident de sécurité pour filtrer les problèmes de sécurité par plage de dates.
    • Faux positifs : sélectionnez Filtrer les faux positifs d’incident de sécurité pour supprimer les problèmes de faux positifs. La sélection de ce filtre réduit le nombre d’incidents de sécurité que vous voyez dans la carte thermique.

    Lorsque vous utilisez ce filtre avec le filtre Afficher la couverture de détection de technique , il vous donne un aperçu de la pertinence de la couverture de détection de technique pour votre organisation jusqu’à la date sélectionnée.

    Par exemple, lorsque vous activez les deux filtres, vous pouvez voir que sous la tactique d’évasion défensive, la technique de mascarade n’a aucune couverture. Si vous regardez plus loin, la technique de mascarade est liée à la tâche ou au service de mascarade, qui est également associé à un incident de sécurité. Cela montre qu’il existe un écart dans la couverture de détection de technique pour la technique de masquage et que vous devez peut-être revoir la couverture globale de détection de technique.

    Afficher les règles de détection

    Pour voir si vous avez défini les règles de détection pour une technique particulière, cliquez sur Afficher les règles de détection. Vous pouvez également afficher chaque règle de détection associée avec sa définition.

    Ces informations sont basées sur le mappage des règles de détection que vous avez défini.

    Afficher les CVE associés à la technique

    Pour afficher les informations sur les vulnérabilités et les expositions communes (CVE) associées à chacune des techniques, cliquez sur Afficher les CVE associés à la technique. Les informations CVE à technique sont basées sur les informations disponibles dans le module CVE - Technique Mapping. Cela vous donne un aperçu des vulnérabilités connues et vous permet de savoir si des adversaires peuvent potentiellement exploiter votre organisation.

    Important :
    La carte thermique est améliorée pour afficher uniquement les CVE pertinents associés aux VIT

    Pour afficher les VIT associés aux CVE et aux techniques, sélectionnez Afficher les VIT associés aux CVE et aux techniques. De plus, pour filtrer davantage les techniques sans VIT, sélectionnez Masquer les techniques sans VIT. Les informations CVE et VIT que vous affichez sont extraites du Vulnerability Response produit dans votre environnement. Vous pouvez afficher la liste filtrée des CVE et des VIT dans la carte thermique et accéder à chaque CVE ou VIT pour chaque technique de la carte thermique.

    Remarque :
    • L’option Afficher les CVE associés à la technique n’est disponible que lorsque le Vulnerability Response produit est installé dans votre environnement.
    • Les informations VIT et CVE sont calculées en fonction de la tâche planifiée que vous définissez dans le MITRE-ATT&CK Propriétés de. La tâche de planification du système de base est définie sur 24 heures.

    Lorsque vous utilisez ce filtre avec le filtre Afficher l’incident de sécurité associé à la technique , vous pouvez savoir si les vulnérabilités connues ont causé des incidents de sécurité dans votre organisation.

    Vous pouvez afficher plus d’informations sur chaque CVE afin d’analyser si le CVE est pertinent pour votre organisation. Pour ce faire, affichez les éléments de vulnérabilité. Si des éléments de vulnérabilité sont créés, vous pouvez afficher plus d’informations sur les informations de CI associées dans le Vulnerability Response module. Vous pouvez également examiner la gravité et la priorité pour prendre des décisions éclairées.

    Analyser les incidents de sécurité

    Pour analyser les incidents de sécurité et examiner les techniques utilisées par un adversaire pour une attaque, cliquez sur Analyser les incidents de sécurité. Vous pouvez ajouter plusieurs incidents de sécurité à des fins d’analyse en utilisant des chaînes séparées par des virgules.

    Ce filtre vous aide à analyser un incident de sécurité. Vous pouvez savoir pourquoi l’incident s’est produit, quelles techniques ont été exploitées, si des acteurs de menace connus ont été impliqués, si les acteurs de menace ont utilisé une séquence particulière pour une attaque, etc. Comme vous pouvez analyser plusieurs incidents de sécurité en même temps, vous pouvez corréler les informations pour déterminer s’ils sont liés ou s’il s’agit d’un incident isolé. Si les incidents de sécurité sont liés et que vous observez un modèle, vous pouvez examiner leur progression sur la chaîne de destruction afin d’arrêter l’attaque ou d’élaborer une stratégie de défense pour votre organisation.

    Lorsque vous utilisez le filtre Analyser les incidents de sécurité avec des filtres primaires, tels qu’un groupe d’adversaires, vous pouvez corréler si des adversaires connus sont impliqués. Par exemple, lorsque plusieurs incidents de sécurité sont en cours d’analyse, les techniques associées aux incidents de sécurité sont présentes sous la forme d’une kill chain. Lorsque vous superposez les informations avec l’adversaire, vous remarquez un chevauchement entre les techniques associées à l’incident de sécurité et les techniques associées à l’adversaire. Seules les informations sur la technique chevauchée sont affichées si les deux filtres sont activés.

    Utilisation de la superposition pour analyser les incidents de sécurité et les groupes d’adversaires

    Utilisez le filtre Activer la superposition / Analyser pour afficher le comportement de l’adversaire et analyser un ou plusieurs des incidents de sécurité et corréler les informations pour déterminer si une attaque est un incident isolé ou une attaque coordonnée par un adversaire connu.

    Par exemple, vous pouvez désormais afficher les incidents de sécurité et le comportement en kill chain de l’adversaire dans la même vue. Cette vue fournit des informations de chevauchement qui vous informent de l’attaque et du comportement connu de l’adversaire. Cela vous permet d’analyser s’il s’agit d’une attaque isolée ou d’une attaque coordonnée par un adversaire connu.

    L’activation du filtre d’analyse de superposition ignore tous les filtres primaires, à l’exception du filtre de groupe Adversaire , et ignore le filtre avancé Filtrer par priorité pertinente de la technique lors de la génération d’une vue.

    Une fois que vous avez activé le filtre d’analyse de superposition, utilisez la palette de couleurs pour affecter des couleurs aux éléments suivants :
    • Analyser l’incident de sécurité
    • Groupe d'adversaires
    • Superposition

    L’illustration suivante montre que le groupe d’adversaires APT18 est réparti sur plusieurs techniques et tactiques dans la chaîne de destruction. L’analyse montre également qu’il existe trois techniques qui se superposent au groupe d’adversaires et aux incidents de sécurité que vous suivez.