矩阵为您提供：使用MITER ATT＆CK的项目概述

长期以来， MITR ATT＆CK矩阵（专业策略，技术和常识）已在各个站点上进行了讨论，包括有关Habré本身的一系列文章。 可以说，社区采用了这种模型，而且许多人开始使用它。 今天，我们为您汇总了针对以下目的的各种项目的简要概述：

• 改善使用矩阵的感知和便利性；
• 用ATT＆CK匹配分析；
• 对矩阵中描述的各种攻击进行检查。

我们将在岸上达成共识：受监视的实用程序尚未经过全面测试，最好向消息源咨询详细信息。

目录内容

• 参赛作品
• 矩阵导航，数据表示
  
  • ATT＆CK导航器
  • 观看者剧本
• 对于BlueTeam
  
  • 网络分析存储库（CAR）和CAR探索工具（CARET），不受限制
  • 级联
  • 原子威胁覆盖率
  • ATT＆CK Python客户端
• 对于RedTeam
  
  • 破火山口
  • 原子红队
  • ATT＆CK工具
  • 紫色团队ATT＆CK自动化
  • 红队自动化（RTA）
  • EDR测试脚本
• 适用于Splunk的应用
  
  • 威胁搜寻
  • DarkFalcon，InfernoAuger
• 杂项
  
  • VECTR
  • ATT-CK_分析
  • 狩猎麋鹿（HELK）
• 结论

参赛作品

2013年9月创建了第一个ATT＆CK模型，主要针对Windows。 从那时起，由于网络安全社区的贡献，ATT＆CK有了长足的发展。 除此以外，还创建了一个附加的PRE-ATT＆CK知识库，该知识库描述了攻击的准备工作以及移动设备的ATT＆CK。

截至2019年7月，企业ATT＆CK包括针对Windows，Linux和Mac的314种攻击方法。 矩阵结构包含11种策略：从初始访问到通过C＆C进行控制以及数据泄露。 攻击生命周期的每个阶段都包含许多技术，这些技术已被各种网络犯罪分子成功使用，以破坏组织的网络。 在测试安全性时，RedTeam本质上是这样做的，因此，不使用这样的知识库将是一个很大的疏忽。

在本文中，我们将不讨论ATT＆CK矩阵本身，所有详细信息都可以在开发人员网站上找到。 该知识库的使用和适用性由大型且不是很严格的供应商频繁使用表明：几乎所有威胁检测和狩猎解决方案都已经与此矩阵关联了事件。

矩阵导航，数据表示

ATT＆CK导航器

→ 项目页面

一个开源Web应用程序，提供所有平台矩阵的基本导航和注释。 尽管它很简单，但该应用程序极大地简化了矩阵的工作，允许您在主矩阵之上创建图层。 特定的层可以展示特定分组的技术，反之亦然，可以使保护涂层可视化。 Navigator将帮助您计划RedTeam或BlueTeam的工作。 实际上，该应用程序仅允许您操作矩阵中的单元格：颜色编码，添加注释，分配数值等。

观看者剧本

→ 项目页面
→ github上的项目页面

Viewer Playbook是一个STIX2内容分析系统，其中包含对手技术。 《手册》的目标是将对手使用的工具，方法和程序简化为可以与他人共享的结构化格式。 MITRE ATT＆CK基础结构提供名称，描述和链接，这些示例涉及对手在操作过程中如何使用战术的示例，以及对手用来实现战术的方法。

对于BlueTeam

网络分析存储库（CAR）和CAR探索工具（CARET），不受限制

→ 取消项目页面
→ 在GitHub上取消项目页面
→ 汽车项目页面
→ CARET项目页面

MITRE组织决定不仅仅停留在ATT＆CK矩阵上，而是进一步发展该想法：创建了基于ATT＆CK Cyber​​ Analytics存储库的入侵者行为检测方法注册表。 为了方便起见，我们在其中添加了一个GUI-原来是CAR Exploration Tool（CARET）。 但是，这似乎还不够，因此Unfetter项目是与美国国家安全局共同创建的。 该项目扩展了CARET的功能，可帮助网络安全专业人员识别和分析安全漏洞。 Unfetter中有2个项目：

• Unfetter Discover允许网络安全分析人员和工程师使用从MITER接收的STIX格式的ATT＆CK数据在同级之间创建和共享复杂的网络威胁情报（CTI）数据。
• Unfetter Analytic使您可以将分析映射到需要发现的ATT和CK方法。

级联

→ 项目页面

这是一个MITER研究项目，其目标是使BlueTeam的大部分工作自动化，从而使用主机数据确定网络上可疑行为的程度和严重性。 CASCADE服务器原型可以处理用户身份验证，分析存储在Splunk或ElasticSearch中的数据并生成警报。 当多个后续查询收集相关事件（包括父和子进程（进程树），网络连接和文件活动）时，警报将触发递归调查过程。 服务器会自动生成这些事件的图，显示它们之间的关系，并使用ATT＆CK矩阵中的信息标记该图。

原子威胁覆盖率

→ 项目页面

此工具可自动生成旨在根据ATT＆CK对抗威胁的分析。 有了它，您可以创建和维护自己的分析存储库，从其他项目（例如Sigma，Atomic Red Team以及这些项目的私人分支，带有您自己的分析）导入分析，并导出到两个平台上的可读Wiki：

1. Atlassian汇合页
2. 自己自动生成的Wiki风格页面

本质上，它使您可以建立内部信息门户以检测和响应攻击。

ATT＆CK Python客户端

→ 项目页面

通过公共TAXII服务器以STIX格式访问ATT＆CK矩阵内容的Python脚本。 该项目使用由MITRE开发的cti-python-stix2和cti-taxii-client Python库的类和功能。 该项目的主要目标是提供一种简便的方法来访问新的ATT＆CK数据并与之交互。

对于RedTeam

破火山口

→ 项目页面

CALDERA是在MITER ATT＆CK平台上构建的，用于模拟攻击者行为的自动化系统。 其主要目的是测试端点安全解决方案并评估网络安全状态。 根据Gartner的说法，该系统可归因于破坏和攻击模拟（BAS）产品。 CALDERA使用ATT＆CK模型来识别和复制对手的行为，就好像发生了真正的入侵一样。 这样可以避免日常工作，并可以提供更多的时间和资源来解决复杂的问题。

最近的系统更新更改了其结构：如果以前由服务器，代理和可执行文件组成，以模拟对手，则现在使用插件体系结构。 它们将新功能和行为连接到基本系统。 CALDERA现在带有使用Stockpile插件的几种预先设计的对手模式，但是添加自己的对手很容易。

原子红队

→ 项目页面
→ github上的项目页面
→ Red Canary博客页面

它可能是与ATT＆CK矩阵有关的最受欢迎的项目。 Red Canary创建了一个映射到MITER ATT＆CK框架的简单测试库。 这些是用于检测攻击的小型，易于携带的测试，每个测试都旨在与特定策略进行比较。 测试以结构化的格式定义，并期望自动化环境可以使用它们，这为防御者提供了一种有效的方法，可以立即开始针对各种攻击对防御进行测试。

ATT＆CK工具

→ 项目页面

该存储库包含以下内容：

• ATT＆CK View：敌人模拟计划工具；
• ATT＆CK数据模型：关系数据模型。

View旨在帮助防御者根据ATT＆CK框架制定对手仿真计划。 很好的例子是，MITRE为APT3制定了完整的敌人仿真计划。 这将帮助您更快地开始该项目。
数据模型的主要目标是简化新项目中ATT＆CK的集成。 该数据库基于SQLite，以实现简单性和可移动性；可以在项目页面上找到对其查询的示例。

紫色团队ATT＆CK自动化

→ 项目页面

Praetorian的项目将MITER ATT＆CK矩阵中的战术，技术和方法用作Metasploit框架的后模块。 该项目旨在自动模仿敌人的战术。

红队自动化（RTA）

→ 项目页面

RTA是一组38个脚本和支持可执行文件的集合，这些脚本试图根据ATT＆CK矩阵方法执行恶意活动。 目前，RTA涵盖了50种战术。 RTA尽可能尝试执行脚本描述的恶意活动；在其他情况下，它将模仿它。

EDR测试脚本

→ 项目页面

该存储库包含一个简单的脚本，用于基于Mitre ATT＆CK / LOLBAS / Invoke-CradleCrafter平台测试EDR解决方案。 实际上，很难验证EDR是否正确识别和阻止了多少种不同的恶意攻击。 该脚本就是为此目的而创建的，运行它并观察哪些消息到达EDR控制台。 大多数测试将仅运行calc.exe，但可以轻松更改（例如，尝试下载并运行Mimikatz）。 该脚本仅适用于Windows，并且应与大多数EDR解决方案一起使用。

该项目现在处于起步阶段。

适用于Splunk的应用

Splunk是一个日志存储和分析系统； 它具有Web界面，并具有创建面板（仪表板）的能力-它自己的Splunk应用程序。

威胁搜寻

→ 项目页面

ThreatHunting是一个Splunk应用程序，旨在根据ATT＆CK矩阵监视威胁。 该应用程序基于Sysmon数据-它是一个免费的功能强大的主机级跟踪工具，它使用设备驱动程序和服务在后台运行，并在启动过程中非常早地加载。 该服务还允许您配置将要注册的内容。 通过打开ThreatHunting应用程序，您将进入概述页面，其中包含最近24小时内每个ATT和CK类别的所有触发器的计数，并且您还将看到命中次数最多，主机最易受到攻击的技术。 该应用程序允许您跟踪与ATT＆CK相关的事件，根据数据构建事件树并编译报告。 有关更多信息，请参见作者的博客 。

DarkFalcon，InfernoAuger

→ DarkFalcon项目页面
→ InfernoAuger项目页面

DarkFalcon是一个仪表板系统，可帮助您使用Splunk中的ATT＆CK框架。 还提供了InfernoAuger的更新版本-重建的DarkFalcon，可以自动化FireDrill应用程序中的许多组件并将报告发送到Splunk。 FireDrill提供了可自定义攻击的库，可帮助您确定安全系统是否可以停止或检测到它们。 该库中的脚本放置在自定义测试（“评估”）集中，InfernoAuger模块已经与之交互。 当前有五个模块：

• Main-一个可以根据主体的配置文件创建或更新测试套件的模块；
• 检测-模块将评估结果放入Splunk中以进行进一步的关联或分析；
• 状态-检查测试套件当前或先前运行的状态，并提供有关结果的基本统计信息；
• 方案-提取FireDrill中所有MITER ATT＆CK脚本的列表并显示有关它们的信息；
• 更新-自上次启动以来检查新的MITER ATT＆CK脚本，并发送包含找到的脚本的电子邮件。

杂项

VECTR

→ github上的项目页面
→ 项目页面

这是一个集中式仪表板，可根据MITER ATT＆CK矩阵中的数据轻松跟踪RedTeam和BlueTeam测试活动，以测量检测和预防不同情况下的攻击的能力。 包括以下功能：

• 实时跟踪测试；
• 测量执行的测试进度；
• RedTeam方法和BlueTeam功能的集中化；
• 添加自定义测试脚本；
• 创建详细的测试报告。

VECTR记录了RedTeam的任务和工具，BlueTeam检测的第一和第二级，成功检测的标准和测试结果。 根据获得的结果，提供有关一般指标和工具箱的特定配置的建议，这些建议可用于进一步提高检测和响应能力。

ATT-CK_分析

→ 项目页面

科学和分析性资料库，包含来自MITER ATT＆CK的数据分析。 独立分析师正在寻找一些问题的答案，例如：

• 使用大量方法的组之间是否存在以前未知的关系？
• 每个小组使用的方法数量是否合理地表明了这些小组的能力有多先进？
• 如果可以直接从数据集或从外部来源建立某种可能性的层次结构，是否有证据表明某些群体会避免（而不仅仅是不使用）某些方法？

狩猎麋鹿（HELK）

→ 项目页面

新项目Hunting ELK（Elasticsearch，Logstash，Kibana）。 这是一个由多个开源平台组成的生态系统，这些平台可以协同工作，其主要目标是扩展代理检测威胁的能力，即弹性ELK堆栈的能力。 Spark＆Graphframes技术的实现提供了分析搜索功能。 这是第一个允许您免费使用ELK堆栈上的数据处理功能的公开程序集之一。 此外，Jupyter Notebook已集成到项目中，可使用大数据和/或机器学习进行原型制作。 该堆栈提供了一个全文搜索引擎，其中包含可视化，图形关系查询和高级分析。 该项目处于开发阶段，代码和功能将更改。 在不久的将来，使用来自ATT＆CK的数据添加仪表板。 您可以在作者的博客中了解有关该项目的更多信息。

结论

积极使用MITER ATT＆CK矩阵的项目数量继续增长。 应该指出的是，这对于分析人员来说是一个很好的知识库，它重新审视了信息安全威胁的模型。 但是，一些研究人员指出了矩阵的一些缺点。 例如，在某些情况下，对技术的描述非常模糊，这使使用它们的工作非常复杂。

您不应该忘记的主要内容：该矩阵是基于成功的攻击建立的。 即 总的来说，这是有关所使用的技术和方法的历史参考。 毫无疑问，这是一个良好的知识库，操作方便，但仍然永远无法完整描述敌人的所有可能技术。