Как использовать MITRE ATT&CK в SOC

image.png

Использование MITRE ATT&CK в Центре управления безопасностью (SOC) может значительно расширить возможности обнаружения угроз и реагирования на них. 

Правила корреляции из коробки в KUMA (SOC Package и Community-Pack) покрываются техниками и тактиками из матрицы MITRE ATT&CK, для обогащения корреляционных событий используйте в корреляторе на шаге обогащение соответсвующие правила обогащения идущие в комплекте: MITRE Tactics и MITRE Technique

Обогащение Техниками и Тактиками на корреляторе

image.png

Ниже шаги для эффективного использования в SOC:

Ознакомьтесь с MITRE ATT&CK

Сопоставьте ATT&CK с вашей средой

Создайте правила обнаружения

Реализуйте поиск угроз (Threat Hunting)

Улучшайте реагирование на инциденты

Работайте с Threat Intelligence


Пример работы

Находим технику

Например, нам интересен вектор атаки через планировщик задач, для этого можно воспользоваться поиском вверху справа на сайте https://attack.mitre.org/:

image.png

Переходим на интересующую тематику:

image.png

Изучаем материал

Изучаем меры защиты

image.png

Преобразуйте TTP (Техники, Тактики и Процедуры) в правила в SIEM

image.png

Например, такое правило MITRE CAR - Scheduled Task Creation or Modification Containing Suspicious Scripts, Extensions or User Writable Paths (https://car.mitre.org/analytics/CAR-2021-12-001/). В нем можно увидеть множество вариаций правил, как в псевдокоде, так и в популярных зарубежных SIEM системах.

image.png

ATT&CK Navigator

ATT&CK Navigator — это веб-инструмент для разметки и изучения матриц ATT&CK. Его можно использовать для визуализации покрытия средств защиты, планирования красно-синих команд, частоты обнаруженных приемов и многого другого. Сайт - https://mitre-attack.github.io/attack-navigator/  


Revision #5
Created 16 August 2023 12:12:06 by Boris Rzr
Updated 9 April 2024 14:34:09 by Boris Rzr