MITRE-ATT&CK Carte thermique et navigateur

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 15 minutes de lecture

    • Vous pouvez utiliser la carte thermique et le MITRE-ATT&CK navigateur pour la navigation de base et pour visualiser la couverture globale de détection de votre technique.

    Vue d’ensemble de la MITRE-ATT&CK carte thermique et du navigateur

    Vous pouvez utiliser le navigateur avec les filtres primaires pour la navigation de base et l’observation des matrices ATT&CK. La carte thermique met en évidence le spectre de la couverture de détection, y compris les angles morts où votre organisation n’a aucune couverture. Cette option est disponible une fois que vous avez mappé la couverture de détection de la technique.

    À l’aide de la carte thermique et du navigateur, vous pouvez :
    • Identifiez rapidement et efficacement les options de détection de votre organisation et mettez en évidence les lacunes dans la couverture de détection des techniques.
    • Traquez les menaces et effectuez une corrélation des menaces à l’aide des fonctionnalités associées.

    Accéder à la carte thermique et au MITRE-ATT&CK navigateur

    Accédez à la carte thermique et au MITRE-ATT&CK navigateur afin de visualiser la matrice qui vous permet d’utiliser ATT&CK.

    Avant de commencer

    Rôle requis : sn_ti.read, sn_ti.mitre_analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez examiner la carte thermique, utiliser les filtres pour la corréler et effectuer une analyse des liens des informations, des observables et des incidents de MITRE-ATT&CK sécurité dans votre organisation.

    Procédure

    1. Accédez à la Tout > Renseignements sur les menaces > Référentiel MITRE ATT&CK > Carte thermique et navigateur.
      La carte thermique et le navigateur s’ouvrent dans un nouvel onglet.
    2. Sélectionnez la source pour remplir la carte thermique.
      Remarque :
      Seules les collections et lesmatrices qui ont été activées apparaissent dans la liste source.

      Dans l’illustration suivante, vous voyez comment naviguer vers la carte thermique et le navigateur, et comment sélectionner la source, qui est Enterprise ATT&CK dans cet exemple.

    3. Utilisez le champ de recherche pour trouver rapidement une tactique ou une technique particulière à l’aide de son nom ou de son ID.

      L’illustration suivante montre comment rechercher une tactique, une technique ou toute information qu’elles contiennent.

    4. Cliquez sur Filtres et sélectionnez un filtre parmi les filtres primaires ou avancés .
    5. Cliquez sur Appliquer et contrôlez les filtres comme suit :
      • Pour enregistrer vos filtres, créez une vue personnalisée. Vous pouvez créer et enregistrer trois vues personnalisées.
      • Pour supprimer les filtres sélectionnés, cliquez sur Restaurer les filtres par défaut pour charger votre vue enregistrée par défaut.
      • Pour effacer tous les filtres et votre vue existante, cliquez sur Effacer tous les filtres.
      Remarque :
      Les vues que vous enregistrez sont spécifiques à un utilisateur.
    6. Cliquez sur Masquer les sous-techniques pour supprimer toutes les sous-techniques de la vue de la carte thermique.
      Si une technique comporte des sous-techniques, vous pouvez cliquer sur l’icône de développement pour afficher les sous-techniques.

    À l’aide des vues personnalisées

    Les vues personnalisées de la carte thermique et du MITRE-ATT&CK navigateur vous permettent d’enregistrer et d’afficher vos filtres préférés la prochaine fois que vous atterrirez sur la carte thermique.

    Remarque :
    Vous pouvez créer et enregistrer trois vues personnalisées pour chaque MITRE-ATT&CK collection par utilisateur.

    Créer une vue

    Une fois que vous avez sélectionné les filtres requis dans les filtres primaires ou avancés , cliquez sur le bouton représentant des points de suspension (...) dans l’en-tête Filtres et sélectionnez Créer une nouvelle vue. Entrez le nom de la vue personnalisée et enregistrez la vue.

    Vues par défaut

    Cliquez sur Enregistrer cette vue par défaut pour charger directement la vue la prochaine fois que vous atterrirez sur la carte thermique. Vous pouvez définir une vue par défaut pour chacune des collections.

    Remarque :
    Si vous mettez à niveau le module d’extension Renseignements sur les menaces à partir d’une version antérieure, votre vue par défaut existante de l’ancienne version apparaît comme une vue personnalisée.

    Mettre à jour une vue

    Vous pouvez apporter des mises à jour à une vue personnalisée existante en modifiant les filtres primaires ou avancés requis. Sélectionnez une vue personnalisée, mettez à jour les filtres selon vos besoins, puis cliquez sur le bouton représentant des points de suspension (...) dans l’en-tête Filtres et sélectionnez Mettre à jour la vue pour enregistrer les filtres.

    Gérer les vues personnalisées

    Utilisez les cases à cocher en regard de chaque vue personnalisée pour appliquer le filtre d’affichage personnalisé sélectionné.

    Cliquez sur le bouton représentant des points de suspension (...) en regard du nom de chaque vue personnalisée pour contrôler les vues personnalisées comme suit :
    • Définissez une vue par défaut.
    • Supprimez une vue personnalisée comme vue par défaut. Cela ne supprime pas la vue personnalisée.
    • Renommez la vue personnalisée.
    • Supprimez la vue personnalisée.

    Exporter une vue enregistrée

    Pour exporter les vues personnalisées enregistrées vers des fichiers JSON, cliquez sur les points de suspension (...) dans l’en-tête Filtres et sélectionnez Exporter les vues enregistrées. Cliquez sur l’icône de téléchargement de la vue personnalisée que vous souhaitez télécharger sur votre ordinateur local.

    Importer une vue

    Vous ne pouvez importer que des fichiers JSON. Pour importer les vues personnalisées, cliquez sur le bouton représentant des points de suspension (...) dans l’en-tête Filters (Filtres) et sélectionnez Importer la vue (json).

    Vérifiez les conditions suivantes lors de l’importation des vues :
    • Vous ne pouvez importer que le format de fichier JSON.
    • Vous ne pouvez importer qu’une seule vue ou un seul fichier à la fois.
    • Vous ne pouvez pas importer si vous avez déjà trois vues personnalisées dans vos filtres. Supprimez une vue personnalisée et importez-la.
    • Vous ne pouvez pas importer une vue avec un nom de vue personnalisé existant. Renommez une vue avant de l’importer.

    Navigateur avec filtres primaires

    Utilisez les filtres primaires pour filtrer les techniques dans le MITRE-ATT&CK navigateur. Les informations contenues dans le MITRE-ATT&CK référentiel peuvent être sélectionnées.

    Filtre Description
    Groupe d’adversaires (groupe de menaces) Ensembles d’activités d’intrusion connexes qui sont suivis par un nom commun dans la communauté de sécurité. Les groupes peuvent désigner divers groupes de menaces, groupes d’activités, acteurs de menace, ensembles d’intrusion et campagnes. Vous pouvez ajouter plusieurs groupes au filtre Groupe d’adversaires (groupe de menaces ).

    Par exemple, vous ajoutez APT1 et AT12, car il s’agit de deux groupes de menaces attribués à la Chine. Bien que les deux groupes puissent cibler des sources différentes, ils pourraient utiliser des techniques similaires.
    Outil Logiciel légitime utilisé par les auteurs de menace pour effectuer des attaques. Vous pouvez comprendre comment les auteurs de menace exécutent les campagnes si vous savez comment et quels outils sont utilisés par les auteurs de menace. La catégorie Outils comprend les logiciels introuvables sur un système d’entreprise et les logiciels disponibles dans un système d’exploitation déjà présent dans un environnement tel que les utilitaires Microsoft Windows.

    Par exemple, gsecdump est un dumper d’informations d’identification accessible au public que le groupe d’adversaires APTI1 utilise pour obtenir des hachages de mots de passe et des secrets LSA (Local Security Authority) à partir des systèmes d’exploitation Microsoft Windows.
    Programme malveillant Logiciel commercial, fermé personnalisé ou open source destiné à être utilisé à des fins malveillantes par des adversaires.

    Par exemple, PlugX, CHOPSTICK, etc
    Plateforme Tactiques et techniques représentées MITRE-ATT&CK dans une plateforme particulière.

    Par exemple, MITRE-ATT&CK prend en charge ces plateformes dans la matrice ATT&CK d’entreprise : Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Réseau.
    Source de données Sources de données que vous collectez dans votre environnement et utilisez pour détecter MITRE-ATT&CK des techniques.

    Il peut s’agir, par exemple, de la surveillance des DLL et des extensions de navigateur.
    L’illustration suivante montre tous les filtres principaux disponibles dans le MITRE-ATT&CK navigateur.

    Filtres primaires.

    Utilisation d’une carte thermique avec des fonctionnalités primaires et avancées

    Vous pouvez utiliser une carte thermique avec des filtres avancés pour effectuer une analyse en corrélant les incidents de sécurité avec MITRE-ATT&CK des informations.

    Afficher les ID de technique

    Vous pouvez afficher les MITRE-ATT&CK ID de techniques avec les noms de techniques lorsque vous sélectionnez le filtre Afficher les ID de techniques .

    Afficher les techniques pertinentes par priorité

    Pour filtrer les techniques en fonction de leur priorité pertinente dans le navigateur, sélectionnez Filtrer par filtre de priorité pertinente de la technique , puis sélectionnez la priorité pertinente dans le menu. Vous pouvez affecter plusieurs priorités pour le filtrage. Vous pouvez également pointer du doigt les techniques de la carte thermique pour connaître la priorité de la technique.

    Les informations de priorité pertinentes sont basées sur l’ordre de priorité que vous avez défini dans le champ de priorité pertinente des techniques .

    Afficher la couverture de détection technique

    Pour afficher la couverture globale de la détection de la technique dans la carte thermique, sélectionnez le filtre Afficher la couverture de détection de la technique. La carte thermique met en évidence le spectre visuel de la couverture de détection, y compris les angles morts où vous n’avez aucune couverture. La définition de notation du système de base et les couleurs ont été définies dans la couverture de détection de technique. Les informations ont été extraites automatiquement de la couverture globale de détection de la technique.

    Par exemple, les zones de la carte thermique marquées en rouge indiquent un manque de détection. Les zones marquées en bleu indiquent la présence de capacités de détection complètes. Les zones marquées en orange, jaune et bleu clair reflètent des capacités de détection partielles.

    • La visualisation des couleurs est basée sur la définition de la technique et le codage couleur que vous définissez.
    • La visualisation de la couverture est basée sur le mappage de couverture de détection technique que vous définissez.
    • Si vous modifiez la définition de couverture du système de base, les icônes Type de couverture ne s’affichent pas avec les techniques de la carte thermique.
      Remarque :
      La carte thermique fonctionne comme prévu lorsque vous modifiez les mêmes champs que la couverture de détection technique et les couleurs de couverture définies par le système de base.

    Dans cette illustration, vous voyez la couverture de détection de technique pour toutes les techniques et sous-techniques et le type de couverture avec leurs couleurs et icônes.

    Afficher la couverture d’atténuation de technique

    Pour afficher la couverture globale de l’atténuation de la technique dans la carte thermique, sélectionnez le filtre Afficher la couverture de l’atténuation de la technique. La carte thermique met en évidence le spectre visuel de la couverture d’atténuation, y compris les zones que vous ne couvrez pas. La couverture d’atténuation, les couleurs et les plages de pourcentage ont été définies dans la définition de couverture d’atténuation. L’information est extraite de la couverture globale de l’atténuation des techniques.

    Par exemple, les techniques surlignées en rouge indiquent qu’il n’y a pas de couverture d’atténuation, l’orange indique une mauvaise couverture d’atténuation et le bleu indique une excellente couverture d’atténuation.
    • La visualisation des couleurs est basée sur la définition d’atténuation de technique et le codage couleur que vous définissez.
    • La visualisation de la couverture est basée sur le mappage de couverture d’atténuation de technique que vous définissez.
    • Si vous modifiez la définition de couverture d’atténuation du système de base, les icônes Type de couverture d’atténuation ne s’affichent pas avec les techniques de la carte thermique.
      Remarque :
      La carte thermique fonctionne comme prévu lorsque vous modifiez les mêmes champs que la couverture d’atténuation de technique et les couleurs de couverture définies par le système de base.

    Afficher la couverture de détection et d’atténuation

    Vous pouvez utiliser les filtres de couverture de détection de technique et d’atténuation de technique ensemble pour obtenir un aperçu de la pertinence de la détection de technique et atténuer la couverture pour votre organisation.

    Cette illustration montre comment utiliser simultanément le filtre de détection et d’atténuation.

    Afficher le groupe de menaces

    Pour afficher les informations du groupe de menaces à la technique sur la carte thermique, sélectionnez Afficher la carte thermique du groupe de menaces. Vous pouvez mesurer le nombre de groupes de menaces qui utilisent une technique particulière. La probabilité d’une attaque utilisant une technique particulière augmente lorsque vous avez un nombre élevé d’attaquants. Les plages de groupes de menaces et les couleurs de la carte thermique ont été définies dans la définition de la carte thermique Groupe de menaces – Technique.

    Afficher les incidents de sécurité associés à la technique

    Pour afficher les techniques qui sont fréquemment exploitées dans votre organisation et qui ont donné lieu à des incidents de sécurité, cliquez sur Afficher l’incident de sécurité associé à la technique. Vous pouvez afficher plus d’informations sur chacun des incidents de sécurité associés en cliquant sur le lien qui s’ouvre dans une nouvelle fenêtre pour analyse.

    • Priorité : sélectionnez Priorité de l’incident de sécurité pour filtrer en fonction de la priorité de l’incident de sécurité.
    • Plage de dates : sélectionnez la plage de dates des incidents de sécurité pour filtrer les problèmes de sécurité par plage de dates.
    • Faux positifs : sélectionnez Filtrer les incidents de sécurité signalés comme faux positifs pour supprimer les problèmes de faux positifs. La sélection de ce filtre réduit le nombre d’incidents de sécurité que vous voyez sur la carte thermique.

    Lorsque vous utilisez ce filtre avec le filtre Afficher la couverture de détection de technique , il vous donne un aperçu de la pertinence de la couverture de détection de technique pour votre organisation jusqu’à la date sélectionnée.

    Par exemple, lorsque vous activez les deux filtres, vous pouvez voir que dans le cadre de la tactique d’évasion défensive, la technique de mascarade n’est pas couverte. Si l’on regarde plus loin, la technique de masquage est liée à la tâche ou au service de mascarade, qui est également associé à un incident de sécurité. Cela montre qu’il existe une lacune dans la couverture de détection de technique pour la technique de masquage et que vous voudrez peut-être réviser la couverture globale de détection de technique.

    Afficher les règles de détection

    Pour voir si vous avez défini les règles de détection pour une technique particulière, cliquez sur Afficher les règles de détection. Vous pouvez également voir chaque règle de détection associée avec sa définition.

    Ces informations sont basées sur le mappage de règles de détection que vous avez défini.

    Afficher les CVE associés à la technique

    Pour afficher les informations sur les vulnérabilités et les expositions communes (CVE) associées à chacune des techniques, cliquez sur Afficher les CVE associés à la technique. Les informations CVE à technique sont basées sur les informations disponibles dans le module CVE - Technique Mapping. Cela vous donne un aperçu des vulnérabilités connues et vous permet de savoir si des adversaires peuvent potentiellement exploiter votre organisation.

    Important :
    La carte thermique est améliorée pour afficher uniquement les CVE pertinents associés aux VIT

    Pour afficher les VIT associés aux CVE et aux techniques, sélectionnez Afficher les VIT associés aux CVE et aux techniques. En outre, pour filtrer davantage les techniques sans VIT, sélectionnez Masquer les techniques sans VIT. Les informations CVE et VIT que vous affichez sont extraites du Réponse aux vulnérabilités produit dans votre environnement. Vous pouvez afficher la liste filtrée des CVE et des VIT dans la carte thermique et accéder à chaque CVE ou VIT pour chaque technique de la carte thermique.

    Remarque :
    • L’affichage des CVE associés à la technique n’est disponible que lorsque le Réponse aux vulnérabilités produit est installé dans votre environnement.
    • Les informations VIT et CVE sont calculées en fonction de la tâche planifiée que vous définissez dans le MITRE-ATT&CK Propriétés de. La tâche planifiée du système de base est définie sur 24 heures.

    Lorsque vous utilisez ce filtre avec le filtre Afficher l’incident de sécurité associé à la technique , vous pouvez savoir si les vulnérabilités connues ont causé des incidents de sécurité dans votre organisation.

    Vous pouvez afficher plus d’informations sur chaque CVE afin d’analyser si les CVE sont pertinents pour votre organisation. Pour ce faire, affichez les éléments de vulnérabilité. Si des éléments de vulnérabilité sont créés, vous pouvez afficher plus d’informations sur les informations CI associées dans le Réponse aux vulnérabilités module. Vous pouvez également passer en revue la gravité et la priorité pour prendre des décisions éclairées.

    Analyser les incidents de sécurité

    Pour analyser les incidents de sécurité et examiner les techniques utilisées par un adversaire pour une attaque, cliquez sur Analyser les incidents de sécurité. Vous pouvez ajouter plusieurs incidents de sécurité à des fins d’analyse à l’aide de chaînes séparées par des virgules.

    Ce filtre vous aide à analyser un incident de sécurité. Vous pouvez savoir pourquoi l’incident s’est produit, quelles techniques ont été exploitées, si des acteurs malveillants connus ont été impliqués, si les acteurs malveillants ont utilisé une séquence particulière pour une attaque, etc. Étant donné que vous pouvez analyser plusieurs incidents de sécurité en même temps, vous pouvez corréler les informations pour voir s’ils sont liés ou s’il s’agit d’un incident isolé. Si les incidents de sécurité sont liés et que vous observez une tendance, vous pouvez examiner leur progression sur la chaîne de destruction pour arrêter l’attaque ou élaborer une stratégie de défense pour votre organisation.

    Lorsque vous utilisez le filtre Analyser les incidents de sécurité avec des filtres primaires, tels qu’un groupe d’adversaires, vous pouvez établir une corrélation si des adversaires connus sont impliqués. Par exemple, lorsque plusieurs incidents de sécurité sont en cours d’analyse, les techniques associées aux incidents de sécurité sont présentes sous la forme d’une chaîne de frappe. Lorsque vous chevauchez les informations avec celles de l’adversaire, vous remarquez un chevauchement entre les techniques associées à l’incident de sécurité et les techniques associées à l’adversaire. Seules les informations sur la technique superposée s’affichent si les deux filtres sont activés.

    Utilisation de la superposition pour analyser les incidents de sécurité et les groupes d’adversaires

    Utilisez le filtre Activer la superposition/Analyser pour afficher le comportement de l’adversaire et analyser un ou plusieurs des incidents de sécurité et corréler les informations pour voir si une attaque est un incident isolé ou une attaque coordonnée par un adversaire connu.

    Par exemple, vous pouvez désormais afficher les incidents de sécurité et le comportement de la chaîne de destruction de l’adversaire dans la même vue. Cette vue fournit des informations de chevauchement qui vous informent de l’attaque et du comportement connu de l’adversaire. Cela vous permet d’analyser s’il s’agit d’une attaque isolée ou d’une attaque coordonnée par un adversaire connu.

    L’activation du filtre d’analyse de superposition ignore tous les filtres primaires, à l’exception du filtre de groupe Adversaire , et ignore le filtre avancé Filtrer par priorité pertinente de technique lors de la génération d’une vue.

    Une fois que vous avez activé le filtre d’analyse de superposition, utilisez la palette de couleurs pour affecter des couleurs aux éléments suivants :
    • Analyser l’incident de sécurité
    • Groupe d'adversaires
    • Superposition

    L’illustration suivante montre que le groupe d’adversaires APT18 est réparti sur plusieurs techniques et tactiques dans la chaîne de destruction. L’analyse montre également qu’il existe trois techniques qui se superposent au groupe d’adversaires et aux incidents de sécurité que vous suivez.