Skip to main content

Как использовать MITRE ATT&CK в SOC

image.png

Использование MITRE ATT&CK в Центре управления безопасностью (SOC) может значительно расширить возможности обнаружения угроз и реагирования на них. 

Правила корреляции из коробки в KUMA (SOC Package) покрываются техниками и тактиками из матрицы MITRE ATT&CK, для обогащения корреляционных событий используйте в корреляторе на шаге обогащение соответсвующие правила обогащения идущие в комплекте: MITRE Tactics и MITRE Technique

Ниже шаги для эффективного использования в SOC:

Ознакомьтесь с MITRE ATT&CK

  • Понять назначение и структуру платформы MITRE ATT&CK. Может помочь эта статья на русском: https://xakep.ru/2021/03/17/mitre-att-ck/ 
  • Посетите веб-сайт ATT&CK (https://attack.mitre.org/) и ознакомьтесь с матрицей ATT&CK, техниками, тактиками и подтехниками.

Сопоставьте ATT&CK с вашей средой

  • Определите соответствующие методы и тактики MITRE ATT&CK, соответствующие инфраструктуре, процессам, приложениям и данным вашей организации.
  • Сопоставьте методы MITRE ATT&CK с вашими существующими средствами безопасности, такими как МЭ, системы обнаружения вторжений, решения для защиты конечных точек и др.

Создайте правила обнаружения

  • Разработайте правила обнаружения и варианты использования на основе конкретных методов и тактик MITRE ATT&CK.
  • Используйте свою систему SIEM или платформы аналитики угроз для создания правил, создающие оповещения при обнаружении подозрительных действий, связанных с определенными методами ATT&CK.

Реализуйте поиск угроз (Threat Hunting)

  • Используйте MITRE ATT&CK в качестве руководства для упреждающих упражнений по поиску угроз.
  • Найдите индикаторы компрометации (IOC), связанные с известными методами ATT&CK, и используйте их для выявления потенциальных угроз в вашей среде.

Улучшайте реагирование на инциденты

  • Включите MITRE ATT&CK в свои процедуры реагирования на инциденты.
  • Разрабатывайте сценарии и планы реагирования, соответствующие конкретным методам и тактикам ATT&CK, чтобы эффективно справляться с угрозами и смягчать их последствия.
  • Полезные материалы на русском:

Работайте с Threat Intelligence

  • Используйте внешние источники информации об угрозах, соответствующие MITRE ATT&CK.
  • Будьте в курсе последних отчетов об угрозах, в которых упоминаются методы и тактика ATT&CK.
  • Полезные материалы:

Пример работы

Находим технику

Например, нам интересен вектор атаки через планировщик задач, для этого можно воспользоваться поиском вверху справа на сайте https://attack.mitre.org/:

image.png

Переходим на интересующую тематику:

image.png

Изучаем материал

  • Ознакомьтесь с общей структурой ATT&CK
  • Найти параметры и инструменты, которые злоумышленник должен использовать для реализации ATT&CK.
  • Поищите о технике или подтехнике на других ресурсах.
  • Прочтите раздел «Примеры процедур» - Узнайте, как группы или инструменты используют технику или подтехнику.

Изучаем меры защиты

  • Раздел митигации (снижений последствий) - Найдите митигацию
  • Раздел обнаружения - Найдите способы обнаружения этой техники

image.png

 

Преобразуйте TTP (Техники, Тактики и Процедуры) в правила в SIEM

image.png

Например, такое правило MITRE CAR - Scheduled Task Creation or Modification Containing Suspicious Scripts, Extensions or User Writable Paths (https://car.mitre.org/analytics/CAR-2021-12-001/). В нем можно увидеть множество вариаций правил, как в псевдокоде, так и в популярных зарубежных SIEM системах.

image.png

 

ATT&CK Navigator

ATT&CK Navigator — это веб-инструмент для разметки и изучения матриц ATT&CK. Его можно использовать для визуализации покрытия средств защиты, планирования красно-синих команд, частоты обнаруженных приемов и многого другого. Сайт - https://mitre-attack.github.io/attack-navigator/