MITRE-ATT&CK mapa térmico e navegador

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 15 min. de leitura

    • Você pode usar o mapa térmico MITRE-ATT&CK e o navegador para navegação básica e para visualizar a cobertura geral de detecção da técnica.

    Visão geral do mapa térmico e do navegador MITRE-ATT&CK

    Você pode usar o navegador com os filtros primários para navegação básica e observação de matrizes ATT&CK. O mapa térmico destaca o espectro da cobertura de detecção, incluindo os pontos cegos em que sua organização não tem cobertura. Isso está disponível depois de mapear a cobertura de detecção da técnica.

    Com o mapa térmico e o navegador, você pode:
    • Identifique de forma rápida e eficiente os recursos de detecção da sua organização e destaque as lacunas na cobertura de detecção da técnica.
    • Procure ameaças e execute a correlação de ameaças usando os recursos associados.

    Acessar o mapa térmico e o navegador MITRE-ATT&CK

    Acesse o mapa térmico MITRE-ATT&CK e o navegador para visualizar a matriz que permite usar o ATT&CK.

    Antes de Iniciar

    Função necessária: sn_ti.read, sn_ti.mitre_analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode revisar o mapa térmico, usar os filtros para correlacionar e executar a análise de link de MITRE-ATT&CK informações, os observáveis e os incidentes de segurança em sua organização.

    Procedimento

    1. Navegar até Todos > Inteligência contra ameaças > Repositório do MITRE ATT&CK > Mapa térmico e Navegador.
      O mapa térmico e o navegador são abertos em uma nova guia.
    2. Selecione a origem para preencher o mapa térmico.
      Nota:
      Somente as coleções e matrizes que foram ativadas aparecem na lista de origem.

      Na ilustração a seguir, você vê como navegar até o mapa térmico e o navegador e como selecionar a origem, que é Enterprise ATT&CK neste exemplo.

    3. Use a caixa de pesquisa para encontrar rapidamente uma tática ou técnica específica usando seu nome ou ID.

      A ilustração a seguir mostra como pesquisar uma tática, técnica ou qualquer informação contida nelas.

    4. Clique em Filtros e selecione um filtro entre os filtros Primário ou Avançado.
    5. Clique em Aplicar e controle os filtros da seguinte forma:
      • Para salvar seus filtros, crie uma exibição personalizada. Você pode criar e salvar três exibições personalizadas.
      • Para remover os filtros selecionados, clique em Restaurar filtros padrão para carregar sua exibição salva padrão.
      • Para limpar todos os filtros e a exibição existente, clique em Limpar todos os filtros.
      Nota:
      As exibições que você salva são específicas para um usuário.
    6. Clique em Ocultar subtécnicas para remover todas as subtécnicas da exibição do mapa térmico.
      Se uma técnica tiver subtécnicas, você poderá clicar no ícone expandir para exibir as subtécnicas.

    Usando as exibições personalizadas

    As exibições personalizadas no mapa térmico MITRE-ATT&CK e no navegador ajudam você a salvar e exibir seus filtros favoritos na próxima vez que acessar o mapa térmico.

    Nota:
    Você pode criar e salvar três exibições personalizadas para cada coleção MITRE-ATT&CK por usuário.

    Criar uma exibição

    Depois de selecionar os filtros necessários nos filtros Primário ou Avançado, clique no botão de reticências (...) no cabeçalho Filtros e selecione Criar uma nova exibição. Insira o nome da exibição personalizada e Salvar exibição.

    Exibições padrão

    Clique em Salvar como exibição padrão para carregar diretamente a exibição na próxima vez que acessar o mapa térmico. Você pode definir uma exibição padrão para cada uma das coleções.

    Nota:
    Se você estiver atualizando o plug-in Inteligência contra ameaças de uma versão mais antiga, a exibição padrão existente da versão antiga aparecerá como uma exibição personalizada.

    Atualizar uma exibição

    Você pode fazer atualizações em uma exibição personalizada existente modificando os filtros Primário ou Avançado necessários. Selecione uma exibição personalizada, atualize os filtros conforme necessário e clique no botão de reticências (...) no cabeçalho Filtros e selecione Atualizar exibição para salvar os filtros.

    Gerenciar exibições personalizadas

    Use as caixas de seleção ao lado de cada exibição personalizada para aplicar o filtro de exibição personalizado selecionado.

    Clique no botão de reticências (...) ao lado de cada nome de exibição personalizado para controlar as exibições personalizadas da seguinte forma:
    • Defina uma exibição padrão.
    • Remova uma exibição personalizada como padrão. Isso não exclui a exibição personalizada.
    • Renomeie a exibição personalizada.
    • Exclua a exibição personalizada.

    Exportar uma exibição salva

    Para exportar as exibições personalizadas salvas para arquivos JSON, clique nas reticências (...) no cabeçalho Filtros e selecione Exportar exibições salvas. Clique no ícone de download da exibição personalizada que você deseja baixar para o seu computador local.

    Importar uma exibição

    Você pode importar somente arquivos JSON. Para importar as exibições personalizadas, clique no botão de reticências (...) no cabeçalho Filtros e selecione Importar exibição (json).

    Revise as seguintes condições ao importar exibições:
    • Você só pode importar o formato de arquivo JSON.
    • Você pode importar apenas uma exibição ou arquivo de cada vez.
    • Você não pode importar se já tiver três exibições personalizadas em seus filtros. Exclua uma exibição personalizada e importe uma exibição.
    • Você não pode importar uma exibição com um nome de exibição personalizado existente. Renomeie uma exibição antes de importar.

    Navegador com filtros primários

    Use os filtros primários para filtrar técnicas no navegador MITRE-ATT&CK. As informações no repositório MITRE-ATT&CK estão disponíveis para seleção.

    Filtro Descrição
    Grupo adversário (grupo de ameaça) Conjuntos de atividades de invasão relacionadas que são rastreadas por um nome comum na comunidade de segurança. Grupos podem significar vários grupos de ameaças, grupos de atividades, agentes de ameaça, conjuntos de intrusão e campanhas. Você pode adicionar vários grupos ao filtro Grupo adversário (grupo de ameaça).

    Por exemplo, você adiciona APT1 e AT12, pois ambos são grupos de ameaças atribuídos à China. Embora os dois grupos possam ter como destino origens diferentes, eles podem usar técnicas semelhantes.
    Ferramenta Software legítimo usado por agentes de ameaça para executar ataques. Você pode entender como os agentes de ameaça executam campanhas se souber como e quais ferramentas são usadas pelos agentes de ameaça. As ferramentas incluem o software que não é encontrado em um sistema corporativo e o software que está disponível como parte de um sistema operacional que já está presente em um ambiente como os utilitários do Microsoft Windows.

    Por exemplo, o gsecdump é um descarregador de credenciais disponível publicamente que o grupo adversário APTI1 usa para obter hashes de senha e segredos de LSA (Autoridade de Segurança Local) dos sistemas operacionais Microsoft Windows.
    Malware Software comercial, personalizado de código fechado ou de código aberto que se destina a ser usado para fins mal-intencionados por adversários.

    Os exemplos são PlugX, CHOPSTICK e assim por diante
    Plataforma Táticas e técnicas que representam MITRE-ATT&CK em uma plataforma específica.

    Por exemplo, MITRE-ATT&CK oferece suporte a essas plataformas na matriz Enterprise ATT&CK: Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Rede.
    Fonte de dados Fontes de dados que você está coletando em seu ambiente e usando para detectar MITRE-ATT&CK técnicas.

    Os exemplos são monitoramento de dll e extensões de navegador.
    A ilustração a seguir mostra todos os filtros primários disponíveis no navegador MITRE-ATT&CK.

    Filtros primários.

    Uso de um mapa térmico com recursos primários e avançados

    Você pode usar um mapa térmico com filtros avançados para executar uma análise correlacionando incidentes de segurança com MITRE-ATT&CK informações.

    Exibir IDs de técnica

    Você pode exibir os IDs de técnica MITRE-ATT&CK com os nomes das técnicas ao selecionar o filtro Exibir IDs de técnica.

    Exibir técnicas relevantes por prioridade

    Para filtrar as técnicas com base em sua prioridade relevante no navegador, selecione Filtrar por filtro de prioridade relevante da técnica e selecione a Prioridade relevante no menu. Você pode atribuir várias prioridades para filtragem. Você também pode apontar para as técnicas no mapa térmico para saber a prioridade da técnica.

    As informações de prioridade relevantes são baseadas na priorização que você definiu no campo Prioridade relevante de técnicas.

    Exibir cobertura de detecção de técnica

    Para exibir a cobertura geral de detecção da técnica no mapa térmico, selecione o filtro Exibir cobertura de detecção da técnica. O mapa térmico destaca o aspecto visual da cobertura de detecção, incluindo os pontos cegos onde você não tem cobertura. A definição de pontuação do sistema de base e as cores foram definidas na cobertura de detecção da técnica. As informações foram extraídas automaticamente da cobertura geral de detecção da técnica.

    Por exemplo, as áreas do mapa térmico marcadas em vermelho indicam falta de detecção. As áreas marcadas em azul indicam a presença de recursos de detecção completos. As áreas marcadas em laranja, amarelo e azul claro refletem as capacidades de detecção parcial.

    • A visualização de cores é baseada na definição da técnica e na codificação de cores que você define.
    • A visualização da cobertura é baseada no mapeamento de cobertura de detecção de técnica que você define.
    • Se você modificar a definição de cobertura do sistema de base, os ícones de tipo de cobertura não serão exibidos com as técnicas no mapa térmico.
      Nota:
      O mapa térmico funciona conforme o esperado quando você modifica os mesmos campos que a cobertura de detecção de técnica definida pelo sistema de base e as cores de cobertura.

    Nesta ilustração, você vê a cobertura de detecção de técnica para todas as técnicas e subtécnicas e o tipo de cobertura com suas cores e ícones.

    Exibir cobertura de mitigação da técnica

    Para exibir a cobertura geral de mitigação da técnica no mapa térmico, selecione o filtro Exibir cobertura de mitigação da técnica. O mapa térmico destaca o aspecto visual da cobertura de mitigação, incluindo áreas que você não tem cobertura. A cobertura de mitigação, as cores e os intervalos de porcentagem foram definidos na Definição de cobertura de mitigação. As informações são extraídas da Cobertura geral de mitigação da técnica.

    Por exemplo, as técnicas destacadas em vermelho indicam que não há cobertura de mitigação, laranja indica cobertura de mitigação ruim e azul indica cobertura de mitigação excelente.
    • A visualização de cores é baseada na definição de mitigação da técnica e na codificação de cores que você define.
    • A visualização da cobertura é baseada no mapeamento de cobertura de mitigação de técnica que você define.
    • Se você modificar a definição de cobertura de mitigação do sistema de base, os ícones de tipo de cobertura de mitigação não serão exibidos com as técnicas no mapa térmico.
      Nota:
      O mapa térmico funciona conforme o esperado quando você modifica os mesmos campos que a cobertura de mitigação da técnica definida pelo sistema de base e as cores de cobertura.

    Exibir cobertura de detecção e mitigação

    Você pode usar a detecção de técnica e os filtros de cobertura de mitigação de técnica juntos para obter informações sobre a relevância da detecção de técnica e reduzir a cobertura para sua organização.

    Esta ilustração mostra como usar os filtros de detecção e mitigação juntos.

    Exibir grupo de ameaças

    Para exibir o grupo de ameaças para informações de técnica no mapa térmico, selecione Exibir mapa térmico do grupo de ameaças. Você pode medir o número de grupos de ameaças que estão usando uma técnica específica. A probabilidade de um ataque usando uma técnica específica aumenta quando você tem um número alto de invasores. Os intervalos de grupo de ameaça e as cores do mapa térmico foram definidos na Definição de mapa térmico de técnica de grupo de ameaças.

    Exibir incidentes de segurança associados à técnica

    Para exibir as técnicas que são exploradas com frequência em sua organização e que resultaram em incidentes de segurança, clique em Exibir incidente de segurança associado à técnica. Você pode exibir mais informações sobre cada um dos incidentes de segurança associados ao clicar no link que é aberto em uma nova janela para análise.

    • Prioridade: selecione Prioridade de incidente de segurança para filtrar pela prioridade do incidente de segurança.
    • Intervalo de datas: selecione o intervalo de datas do Incidente de segurança para filtrar os problemas de segurança pelo intervalo de datas.
    • Falsos positivos: selecione Filtrar incidente de segurança de falsos positivos para remover problemas de falsos positivos. Selecionar este filtro reduz o número de incidentes de segurança exibidos no mapa térmico.

    Quando você usa este filtro com o filtro Exibir cobertura de detecção de técnica, ele fornece informações sobre a relevância da cobertura de detecção de técnica para sua organização até a data selecionada.

    Por exemplo, ao ativar os dois filtros, você pode ver que, na tática de evasão de defesa, a técnica de mascaramento não tem cobertura. Quando você examina mais, a técnica de Mascaramento está relacionada à Tarefa ou Serviço de Mascaramento, que também tem um incidente de segurança associado a ele. Isso mostra que há uma lacuna na cobertura de detecção da técnica de Mascaramento e talvez você queira revisar a cobertura geral de detecção da técnica.

    Exibir regras de detecção

    Para ver se você tem as regras de detecção definidas para uma técnica específica, clique em Exibir regras de detecção. Você também pode ver cada regra de detecção associada com sua definição.

    Essas informações são baseadas no mapeamento de regras de detecção que você definiu.

    Exibir CVEs associados à técnica

    Para exibir as informações de Vulnerabilidades e exposições comuns (CVE) associadas a cada uma das técnicas, clique em Exibir CVEs associados à técnica. As informações de CVE para técnica são baseadas nas informações disponíveis no módulo CVE — Mapeamento de técnica. Isso fornece informações sobre vulnerabilidades conhecidas e permite que você saiba se os adversários podem explorar sua organização.

    Importante:
    O mapa térmico foi aprimorado para exibir somente os CVEs relevantes que estão associados aos VITs

    Para exibir VITs associados a CVEs e técnicas, selecione Exibir VITs associados a CVE e técnicas. Além disso, para filtrar ainda mais as técnicas sem VITs, selecione Ocultar técnicas sem VITs. As informações de CVE e VIT exibidas são obtidas do produto Vulnerability Response em seu ambiente. Você pode exibir a lista filtrada de CVEs e VITs no mapa térmico e navegar até cada CVE ou VIT para cada técnica do mapa térmico.

    Nota:
    • A técnica Exibir CVEs associados a está disponível somente quando o produto Vulnerability Response está instalado em seu ambiente.
    • As informações de VIT e CVE são calculadas com base no trabalho programado definido em MITRE-ATT&CK propriedades. O trabalho de programação do sistema de base é definido por 24 horas.

    Ao usar este filtro com o filtro Exibir incidente de segurança associado à técnica, você pode saber se as vulnerabilidades conhecidas causaram incidentes de segurança em sua organização.

    Você pode exibir mais informações sobre cada CVE para analisar se o CVE é relevante para sua organização. Para fazer isso, exiba os itens de vulnerabilidade. Se os itens de vulnerabilidade forem criados, você poderá exibir mais informações sobre qualquer informação de IC associada no módulo Vulnerability Response. Você também pode revisar a severidade e a prioridade para tomar decisões informadas.

    Analisar incidentes de segurança

    Para analisar incidentes de segurança e revisar as técnicas usadas por um adversário para um ataque, clique em Analisar incidentes de segurança. Você pode adicionar vários incidentes de segurança para análise usando cadeias de caracteres separadas por vírgulas.

    Este filtro ajuda a analisar um incidente de segurança. Você pode saber por que o incidente ocorreu, quais técnicas foram exploradas, se algum agente de ameaça conhecido estava envolvido, se os agentes de ameaça usaram uma sequência específica para um ataque e assim por diante. Como você pode analisar vários incidentes de segurança ao mesmo tempo, é possível correlacionar as informações para ver se eles estão relacionados ou se são um incidente isolado. Se os incidentes de segurança estiverem relacionados e você observar um padrão, poderá revisar o andamento deles na cadeia de eliminação para interromper o ataque ou para formar uma estratégia de defesa para sua organização.

    Ao usar o filtro Analisar incidentes de segurança com filtros primários, como um Grupo adversário, você pode correlacionar se adversários conhecidos estão envolvidos. Por exemplo, quando vários incidentes de segurança estão sendo analisados, as técnicas associadas aos incidentes de segurança estão presentes na forma de uma cadeia de eliminação. Ao sobrepor as informações com o adversário, você notará uma sobreposição entre as técnicas associadas ao incidente de segurança e as técnicas associadas ao adversário. Somente as informações da técnica sobreposta serão mostradas se ambos os filtros estiverem habilitados.

    Usando sobreposição para analisar incidentes de segurança e grupos adversários

    Use o filtro Habilitar sobreposição/Analisar para exibir o comportamento do adversário, analisar um ou mais incidentes de segurança e correlacionar as informações para ver se um ataque é um incidente isolado ou um ataque coordenado por um adversário conhecido.

    Por exemplo, agora você pode exibir os incidentes de segurança e o comportamento da cadeia de eliminação do adversário da ameaça na mesma exibição. Esta exibição fornece informações de sobreposição que informam sobre o ataque e o comportamento do adversário conhecido. Isso permite que você analise se este é um ataque isolado ou um ataque coordenado por um adversário conhecido.

    Habilitar o filtro de análise de sobreposição ignora todos os filtros primários, exceto o filtro Grupo adversário, e ignora o filtro avançado Filtrar por prioridade relevante da técnica ao gerar uma exibição.

    Depois de habilitar o filtro de análise de sobreposição, use a paleta de cores para atribuir cores para o seguinte:
    • Analisar incidente de segurança
    • Grupo adversário
    • Sobreposição

    A ilustração a seguir mostra que o grupo adversário APT18 está espalhado por várias técnicas e táticas na cadeia de eliminação. A análise também mostra que há três técnicas que se sobrepõem ao grupo adversário e aos incidentes de segurança que você está rastreando.