Gestão de Segurança de Washington DC

MITRE-ATT&CK™ visão geral da estrutura do

Salvar como PDF

Compartilhar esta página

Imprimir

Índice

Security Operations

Sumário

MITRE-ATT&CK™ visão geral da estrutura do

Salvar como PDF

Compartilhar esta página

Imprimir

Versão:
Atualizado1 de fev. de 2024
4 min. de leitura

Washington DC
"Inteligência contra ameaças"

Algumas partes deste tópico podem ter sido traduzidas automaticamente.

A estrutura MITRE-ATT&CK é uma base de conhecimento de táticas, técnicas e procedimentos comuns (TTP) que sua organização pode acessar para desenvolver modelos de ameaça e metodologias específicas contra ataques cibernéticos.

Visão geral

A estrutura MITRE de táticas, técnicas e conhecimento comum do adversário (ATT&CK) documenta e rastreia várias técnicas do adversário que são usadas durante diferentes fases de um ataque cibernético.

Usando a base de conhecimento da estrutura MITRE-ATT&CK, a comunidade de inteligência contra ameaças cibernéticas pode identificar rapidamente as ameaças e coordenar as respostas aos ataques cibernéticos.

MITRE-ATT&CK e Security Operations

Consulte o diagrama a seguir para saber como as informações de MITRE-ATT&CK fluem com aplicações Security Operations.

Como o MITRE ATT&CK funciona com as aplicações do Security Operations.

O pré-carregado TAXII cliente se conecta ao servidor TAXII para ingerir as coletas de dados para Inteligência contra ameaças.
As integrações existentes do Gerenciador de informações e eventos de segurança (SIEM) ingerem seus dados de ameaça (alertas e eventos) com TTPs relevantes e estão associadas a incidentes de segurança.
Quando um IoC está associado a um incidente de segurança, Inteligência contra ameaças pesquisa automaticamente os feeds de ameaças para obter informações relevantes e envia IoCs para fontes de terceiros, como EDR, Sandbox ou TIP para análise adicional.
Se alguma origem de terceiros contiver as informações de MITRE-ATT&CK, então Inteligência contra ameaças extrai as informações da técnica e aprimora os dados no repositório Inteligência contra ameaças para correlação e análise.
MITRE-ATT&CK também compartilha informações de contexto de CVE para cada técnica. Sua equipe de segurança pode revisar as técnicas exploradas em Vulnerability Response para determinar se seus ativos essenciais para os negócios estão ameaçadas.

MITRE-ATT&CK matrizes, táticas e técnicas

O núcleo da estrutura MITRE-ATT&CK é uma matriz de táticas e técnicas do adversário. A sequência das táticas representa o que um adversário está tentando realizar na fase de um incidente. Quando sua equipe de segurança entende essa sequência, você tem a oportunidade de antecipar o próximo passo de um adversário e interromper a cadeia de eliminação. O ATT&CK consiste nas seguintes matrizes:

Enterprise ATT&CK: descreve os comportamentos e as ações que um adversário realiza para comprometer e operar em uma rede e nuvem corporativas.
Nota: A matriz Pre ATT&CK foi descontinuada em MITRE e foi mesclada com a matriz Enterprise.
ICS ATT&CK: descreve as ações que um adversário realiza enquanto opera em uma rede de Sistemas de controle industrial (ICS).
Mobile ATT&CK: descreve os comportamentos e as ações do adversário que se concentram em dispositivos móveis.

As táticas representam o motivo de uma técnica de ATT e CK. É o objetivo tático do adversário para executar uma ação.

As técnicas representam como um adversário atinge um objetivo tático executando uma ação.

As técnicas podem ser associadas a mais de uma tática. Por exemplo, a manipulação de token de acesso é usada por um adversário para obter a tática de escalação de privilégio ou evasão de defesa.

Uso de uma abordagem baseada em intenção para respostas a incidentes

Uma resposta baseada em intenção usa uma estrutura de cadeia de eliminação dinâmica e contextual que pode ajudar sua organização a correlacionar incidentes de segurança e identificar um grande escopo de ataques. Sua equipe de segurança pode usar uma resposta baseada em intenção para entender como a organização está sendo afetada e o que o invasor pode fazer em seguida. Esse tipo de resposta permite prever o comportamento de um invasor para que você possa concentrar seus recursos com eficácia.

Usando Security Incident Response, sua equipe de segurança pode gerenciar o ciclo de vida de cada incidente de segurança, desde a análise até a contenção, concentrando-se em indicadores de comprometimento (IOCs), como endereços IP, hashes de arquivo e domínios.

Ao integrar Security Incident Response com a estrutura MITRE-ATT&CK, os incidentes de segurança são tratados como links em um ataque maior em toda a empresa.

Como sua organização pode se beneficiar de MITRE-ATT&CK no Security Operations

Usar a estrutura MITRE-ATT&CK pode ajudar sua organização a fazer o seguinte:

Equipe os analistas de segurança com MITRE-ATT&CK táticas, técnicas e procedimentos (TTPs) para analisar e responder melhor aos incidentes de segurança.
Automatize os fluxos de trabalho de incidentes usando o playbook para detectar e conter ameaças no contexto da estrutura MITRE-ATT&CK.
Priorize indicadores de comprometimento e busca de ameaças com MITRE-ATT&CK informações.
Entenda a postura de segurança de alto nível da sua organização no contexto da estrutura MITRE-ATT&CK.

Conteúdo relacionado

Noções básicas do Inteligência contra ameaças
A aplicação Inteligência contra ameaças permite que você acesse e forneça um ponto de referência para os dados de Expressão de informações de ameaça estruturada (STIX) da sua empresa. Incluída em Inteligência contra ameaças está a aplicação Security Case Management, que fornece um meio para analisar ameaças à sua organização representadas por campanhas direcionadas ou agentes de estado.
Configurar Inteligência contra ameaças.
Antes de executar Inteligência contra ameaças em sua instância, você deve baixá-lo do ServiceNow Store. Você também pode configurar propriedades e definir uma origem de ameaça.
Repositório LOC
O repositório IoC contém objetos STIX, cada um desses objetos contém uma informação específica.
Administração do Inteligência contra ameaças
O sistema de base Inteligência contra ameaças está pronto para uso na ativação. Você pode adicionar registros a determinados módulos no menu da aplicação Administração, mas a maioria já está preenchida com informações padrão do setor.
Integrações do Inteligência contra ameaças
O sistema base Inteligência contra ameaças inclui integrações a pacotes de software de detecção de malware de terceiros. Esta seção fornece instruções para ativar os plug-ins e configurar ServiceNow e integrações de terceiros. Também estão incluídas algumas diretrizes básicas para desenvolver suas próprias integrações, bem como detalhes sobre integrações específicas incluídas no sistema básico.
Orquestração de inteligência contra ameaças
Orquestração de inteligência contra ameaças As atividades permitem que os usuários determinem se uma ameaça foi vista antes em outros incidentes de segurança ou em outros sistemas usando a orquestração de fluxo de trabalho.
Security Case Management
Security Case Management fornece um meio para os analistas de segurança que estão envolvidos na busca de ameaças coletarem informações sobre atividades suspeitas em seu ambiente. Registros relacionados a casos, como incidentes de segurança, observáveis, ICs e usuários afetados, podem ser adicionados a casos para acomodar análises amplas e específicas.

Log in to get a better experience

Fazer login