Содержание
Техники и тактики MITRE ATT&CK
В KUMA доступны следующие возможности:
- Обогащение корреляционных событий информацией о техниках и тактиках MITRE ATT&CK.
Для этого используются поля модели данных события Tactic и Technique. При генерации корреляционного события можно заполнять эти поля соответствующими данными для последующего использования. Например, при получении нового алерта с разметкой по MITRE ATT&CK, вы можете открыть сайт MITRE ATT&CK и ознакомиться с описанием техник и тактик, когда, каким образом и для чего злоумышленники могут использовать эти техники, как их обнаруживать и митигировать риски - все это поможет разработать план реагирования. Также вы можете строить отчеты и панели мониторинга, исходя из того, какие алерты и техники были замечены в инфраструктуре. Если вы используете правила корреляции из пакета SOC_package и хотите настроить обогащение корреляционных событий информацией о техниках и тактиках MITRE ATT&CK, добавьте в корреляторе правила обогащения MITRE, которые входят в поставку SOC_package.
- Оценка покрытия матрицы MITRE ATT&CK вашими корреляционными правилами.
В этом случае используются общие настройки корреляционного правила, где есть возможность привязать к каждому правилу соответствующие техники MITRE. Этот параметр используется для описания самого правила и эти данные никак не передаются в корреляционное правило или алерт. Привязка техник и тактик к правилам корреляции позволяет проанализировать покрытие матрицы MITRE ATT&CK, фокусируясь на техниках, наиболее релевантных для конкретной инфраструктуры.
Если вы хотите оценить покрытие матрицы MITRE ATT&CK вашими корреляционными правилами, выполните следующие шаги:
- Скачайте справочник техник из официального репозитория MITRE ATT&CK и импортируйте справочник техник в KUMA.
- Привяжите техники MITRE ATT&CK к правилам корреляции.
- Экспортируйте правила корреляции в MITRE ATT&CK Navigator.
В результате вы сможете визуально оценить покрытие матрицы MITRE ATT&CK.
В начало