在 Splunk Security Essentials 中使用 MITRE ATT&CK
發布日期:2023/03/02
MITRE ATT&CK (對抗策略、技術和常識) 是一個用於分類和描述網路攻擊和入侵的知識庫。它是由 Mitre Corporation 制定並於 2013 年發布。ATT&CK 框架大致上是根據美國國防承包商 Lockheed Martin 的網路攻擊鏈 (Cyber Kill Chain) 所設計,但細節更多。ATT&CK 框架中的戰術 (Tactic) 代表網路攻擊鏈的每個階段,應該從左到右閱讀。戰術的水平位置表示攻擊生命週期中使用特定技術的階段。例如,網路釣魚電子郵件可能是在攻擊一開始,而資料外洩可能位於接近尾聲。
在過去幾年中,ATT&CK 框架已成為最受歡迎的網路安全框架。此外,它已被證明對超出原始目的的許多使用案例有幫助。
Mitre Corporation 每年至少更新框架數次,加入新技術、對象,甚至是新矩陣。此外,該框架制定嚴謹,意味著許多技術供應商可以將其直接應用到產品中,包括我們 Splunk。甚至 Gartner 和 Forrester 在其產品評估中也會支援某種形式的 MITRE ATT&CK。
2018 年左右,Splunk 在我們的檔案庫和 Splunk Security Essentials (SSE) App 中新增了對 MITRE ATT&CK 的支援。我們將我們的偵測結果與技術 (Technique) 和策略 (Tactic) 進行對應,使防禦人員能更容易地理解此類偵測在攻擊生命週期中的位置。我們在後續版本中再新增了子技術 (Sub-Technique)、威脅群組 (Threat Group)、平台 (Platform) 和軟體 (Software)。其中許多功能都是新增在 Analytics Advisor 下。
在目前版本的 SSE 中,您可以將 ATT&CK 框架用於各種使用案例並回答各種問題:
•根據技術列表發現需要部署的新偵測
•強調顯示現有作用中偵測所涵蓋的技術
•根據您擁有的數據強調顯示偵測可能涵蓋的技術
•我們的作用中偵測對勒索軟體 Babuk 的監控效果如何?
•哪些威脅組織鎖定了我的行業?
•在我的行業中觀察到了哪些攻擊技術?
•我們的作用中偵測涵蓋雲端矩陣的多少技術?
•哪個資料來源提供的技術涵蓋面最大?
其中許多使用案例必須使用 Splunk Security Essentials 在初始設定中收集的額外內容和補充資料。
根據技術列表發現需要部署的新偵測
1.導覽到 Security Content 頁面
2.在搜尋列中輸入或貼上您感興趣的 Technieuq ID。
SSE 包含一些您可能會感興趣的預定義技術集,例如 MITRE 建立的十大勒索軟體技術 (Top 10 Techniques for Ransomware)。
您還可以在 ATT&CK 矩陣上看到以視覺效果呈現的相同技術。
1.導覽到 Analytics Advisor -> MITRE ATT&CK Framework
2.在 ATT&CK 矩陣上方的 ATT&CK Technique 下拉列表中選擇 [List MITRE ATT&CK Ransomware Top 10]
ATT&CK 矩陣的子集會顯示選擇的技術 
目前環境中選擇的技術和涵蓋指標
Splunk Security Essentials 搭配一些其他預製的 ATT&CK 技術列表,例如 MITRE Engenuity Adversary Sightings Top 15 專案。該專案對過去幾年的大量威脅報告進行了量化研究,並進行過超過 600 萬次技術的使用觀察。結論之一是 15 種主要技術就佔了所有觀察結果的 90%。想保護自己免於 90% 的傷害?使用這個預製列表按上述方式篩選面板。
強調顯示現有作用中偵測所涵蓋的技術
1.導覽到 Analytics Advisor -> MITRE ATT&CK Framework
2.在 [Color] 下拉式功能表中選擇 [Content (Active)]
在面板和標籤頁之間切換,以不同方式查看環境中的目前的涵蓋範圍
圖表顯示 6 個作用中偵測在 ATT&CK 矩陣上的涵蓋率為 2%
根據您擁有的數據強調顯示偵測可能涵蓋的技術
1.導覽到 Analytics Advisor -> MITRE ATT&CK Framework
2.在 [Color] 下拉式功能表中選擇 [Content (Available)]
在面板和標籤頁之間切換,以不同方式查看環境中的目前的涵蓋範圍
哪種來源類型提供最大的偵測涵蓋率?
該圖表顯示環境中的 985 個可用偵測佔 ATT&CK 矩陣的 73% 涵蓋率
我們的作用中偵測對勒索軟體 Babuk 的監控效果如何?
1.導覽到 Analytics Advisor -> MITRE ATT&CK Framework
2.在 [MITRE ATT&CK Software] 下拉式功能表中選擇 [Babuk]
3.在 [Color] 下拉式功能表中選擇 [Content (Active)]
橘色強調顯示的儲存格代表 Babuk 勒索軟體使用的技術。藍色背景顏色代表可用的偵測。
哪些威脅組織鎖定了我的行業?
1.導覽到 Analytics Advisor -> MITRE ATT&CK Framework
2.選擇 [MITRE ATT&CK Threat Group] 下拉式功能表中的 [Industry:Healthcare]
針對醫療保健行業的有十個有名的威脅群組。
在我的行業中觀察到了哪些攻擊技術?
1.導覽到 Analytics Advisor -> MITRE ATT&CK Framework
2.選擇 [MITRE ATT&CK Threat Group] 下拉式功能表中的 [Industry:Healthcare]
3.在 [Filter] 下拉式功能表中選擇 [Threat Group Selection]
ATT&CK 矩陣的一個子集,其中包含在醫療保健行業中觀察到的技術。
該圖片顯示 Security Essentials 中可用的偵測和其他內容,可涵蓋在醫療保健行業中觀察到的技術子集。
我們的作用中偵測涵蓋雲端矩陣的多少技術?
1.導覽到 Analytics Advisor -> MITRE ATT&CK Framework
2.在 [MITRE ATT&CK Platform] 下拉式功能表中選擇 [Cloud]
3.在 [Color] 下拉式功能表中選擇 [Content (Active)]
ATT&CK 雲端矩陣和環境中的作用中偵測 (藍色)。
哪個資料來源提供的技術涵蓋面最大?
1.導覽到 Analytics Advisor -> MITRE ATT&CK Framework
2.選擇 Chart View 標籤頁
3.在 [Split by] 下拉式功能表中選擇 [Data Source]
4.在 [Status] 下拉式功能表中選擇 [Active]
1.按一下 [Selected Content] 部分下方的 [Selection by Data Source] 標籤頁
Security Essentials 中按資料來源劃分的偵測數量和其他可用內容。
讓我們深入了解「涵蓋」(Coverage) 一詞的含義和用法。
涵蓋意味著我們至少有一些內容 (可用的或作用中) 與特定的技術 (Technique) 一致。此外,MITRE ATT&CK 只是一部分「已知」的威脅行為者,該矩陣只列出已經發生的事情,而不會預測可能發生的事情的所有結果。
因此,良好的涵蓋範圍意味著我們擁有涵蓋多種技術的大量內容。然而,這只是全貌的一部分。涵蓋範圍並沒有告訴我們有多少環境受到保護。如果支援偵測的資料來源僅適用於組織的一小部分,則保護等級不會那麼高。如果只看矩陣中的顏色而沒有意識到上下相關內容,甚至可能會被誤導。
總之,涵蓋範圍並不意味著完整性。
都走到這一步了,自己試試吧。Splunk Security Essentials 可由 Splunkbase 取得,3.7.0 版最近於 2022 年 12 月 8 日發布。
若要詳細了解 MITRE ATT&CK 策略如何對應到 Splunk 威脅研究團隊開發的偵測,請觀看最新電子書《使用 Splunk 和 MITRE ATT&CK 進行最佳網路安全威脅偵測》。
- Johan
作者群:
一如往常,Splunk 的安全性來自所有人的貢獻。感謝作者群和相關人員:Johan Bjerke、Audra Streetman、Ryan Becwar。專題照片來自 Pexels 的 Torsten Dettlaff。
作者
Johan Bjerke
來自瑞典,多年前移居倫敦。我喜歡旅行並在工作和生活取得良好的平衡。