MITRE-ATT&CK 히트맵 및 탐색기

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기13분

    • 히트맵과 네비게이터를 사용하여 MITRE-ATT&CK 기본 탐색을 수행하고 전체 기술 탐지 범위를 시각화할 수 있습니다.

    히트맵 및 탐색기 개요 MITRE-ATT&CK

    기본 필터와 함께 탐색기를 사용하여 ATT&CK 행렬의 기본 탐색 및 관찰을 수행할 수 있습니다. 히트맵은 조직에 범위가 없는 사각지대를 포함하여 탐지 범위의 스펙트럼을 강조 표시합니다. 이는 기술 탐지 범위를 매핑한 후에 사용할 수 있습니다.

    히트맵과 내비게이터를 사용하여 다음을 수행할 수 있습니다.
    • 조직의 탐지 기능을 빠르고 효율적으로 식별하고 기술 탐지 범위의 격차를 강조 표시합니다.
    • 위협을 헌팅하고 관련 기능을 사용하여 위협의 상관관계를 수행합니다.

    히트맵 및 내비게이터에 MITRE-ATT&CK 액세스

    MITRE-ATT&CK 히트맵과 내비게이터에 액세스하여 ATT&CK를 사용할 수 있는 매트릭스를 시각화할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_ti.read, sn_ti.mitre_analyst

    이 태스크 정보

    조직의 정보, 옵저버블 및 보안 인시던트에 대한 히트맵을 검토하고 필터를 사용하여 상관관계를 파악하고 링크 분석을 MITRE-ATT&CK 수행할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 리포지토리 > 히트맵 및 내비게이터레이블이 표시됩니다.
      히트맵과 탐색기가 새 탭에서 열립니다.
    2. 히트맵을 채울 소스를 선택합니다.
      주:
      활성화된 컬렉션행렬 만 원본 목록에 나타납니다.

      다음 그림에서는 히트맵 및 탐색기로 이동하는 방법과 원본(이 예제에서는 Enterprise ATT&CK)을 선택하는 방법을 보여 줍니다.

    3. 검색 상자를 사용하여 이름이나 ID를 사용하여 특정 전술이나 기술을 빠르게 찾을 수 있습니다.

      다음 그림에서는 전술, 기술 또는 그 안에 포함된 정보를 검색하는 방법을 보여 줍니다.

    4. 필터를 클릭하고 기본 또는 고급 필터에서 필터를 선택합니다.
    5. Apply(적용)를 클릭하고 다음과 같이 필터를 제어합니다.
      • 필터를 저장하려면 사용자 지정 뷰를 생성합니다. 세 개의 사용자 지정 보기를 만들고 저장할 수 있습니다.
      • 선택한 필터를 제거하려면 Restore Default Filters(기본 필터 복원 )를 클릭하여 기본 저장된 보기를 로드합니다.
      • 모든 필터와 기존 보기를 지우려면 모든 필터 지우기를 클릭합니다.
      주:
      저장하는 뷰는 특정 사용자에 따라 다릅니다.
    6. Hide Sub-Techniques(하위 기술 숨기기)를 클릭하여 히트맵 뷰에서 모든 하위 기술을 제거합니다.
      기술에 하위 기술이 있는 경우 확장 아이콘을 클릭하여 하위 기술을 볼 수 있습니다.

    사용자 지정 뷰 사용

    히트맵과 내비게이터의 MITRE-ATT&CK 사용자 지정 뷰를 사용하면 다음에 히트맵을 시작할 때 즐겨 찾는 필터를 저장하고 볼 수 있습니다.

    주:
    사용자당 모든 MITRE-ATT&CK 컬렉션에 대해 3개의 사용자 지정 보기를 만들고 저장할 수 있습니다.

    뷰 작성

    기본 또는 고급 필터에서 필요한 필터를 선택한 후 필터 헤더에서 줄임표(...) 단추를 클릭하고 새 보기 만들기를 선택합니다. 사용자 지정 뷰 이름을 입력하고 뷰를 저장합니다.

    기본 뷰

    Save this as a default view(이것을 기본 뷰로 저장)를 클릭하여 다음에 히트 맵을 열 때 뷰를 직접 로드합니다. 각 컬렉션에 대한 기본 뷰를 설정할 수 있습니다.

    주:
    이전 버전에서 플러그인을 위협 인텔리전스 업그레이드하는 경우 이전 버전의 기존 기본 뷰가 사용자 지정 뷰로 나타납니다.

    뷰 업데이트

    필요한 기본 또는 고급 필터를 수정하여 기존 사용자 지정 뷰를 업데이트할 수 있습니다. 사용자 지정 보기를 선택하고 필요에 따라 필터를 업데이트한 다음 필터 헤더에서 줄임표(...) 단추를 클릭하고 보기 업데이트를 선택하여 필터를 저장합니다.

    사용자 지정 뷰 관리

    각 사용자 지정 보기 옆에 있는 확인란을 사용하여 선택한 사용자 지정 보기 필터를 적용합니다.

    각 사용자 지정 보기 이름 옆에 있는 줄임표(...) 단추를 클릭하여 다음과 같이 사용자 지정 보기를 제어합니다.
    • 기본 뷰를 설정합니다.
    • 기본 뷰인 사용자 지정 뷰를 제거합니다. 이렇게 해도 사용자 지정 보기는 삭제되지 않습니다.
    • 사용자 지정 보기의 이름을 바꿉니다.
    • 사용자 지정 뷰를 삭제합니다.

    저장된 뷰 내보내기

    저장된 사용자 지정 보기를 JSON 파일로 내보내려면 필터 헤더에서 줄임표(...)를 클릭하고 저장된 보기 내보내기를 선택합니다. 로컬 컴퓨터에 다운로드할 사용자 지정 뷰의 다운로드 아이콘을 클릭합니다.

    뷰 임포트

    JSON 파일만 임포트할 수 있습니다. 사용자 지정 보기를 가져오려면 필터 헤더에서 줄임표(...) 단추를 클릭하고 보기(json) 가져오기를 선택합니다.

    뷰를 임포트할 때 다음 조건을 검토합니다.
    • JSON 파일 형식만 임포트할 수 있습니다.
    • 한 번에 하나의 뷰 또는 파일만 가져올 수 있습니다.
    • 필터에 이미 세 개의 사용자 지정 뷰가 있는 경우 임포트할 수 없습니다. 사용자 지정 뷰를 삭제하고 뷰를 임포트합니다.
    • 기존 사용자 지정 뷰 이름을 가진 뷰는 가져올 수 없습니다. 임포트하기 전에 뷰의 이름을 바꿉니다.

    기본 필터가 있는 네비게이터

    기본 필터를 사용하여 탐색기에서 기술을 필터링합니다 MITRE-ATT&CK . 저장소의 MITRE-ATT&CK 정보를 선택할 수 있습니다.

    필터 설명
    악의적 그룹(위협 그룹) 보안 커뮤니티에서 일반 이름으로 추적되는 관련 침입 활동의 집합입니다. 그룹은 다양한 위협 그룹, 활동 그룹, 위협 행위자, 침입 집합 및 캠페인을 의미할 수 있습니다. 반대 그룹(위협 그룹) 필터에 여러 그룹을 추가할 수 있습니다.

    예를 들어 APT1과 AT12는 모두 중국에 기인하는 위협 그룹이므로 추가합니다. 두 그룹 모두 서로 다른 소스를 대상으로 할 수 있지만 유사한 기술을 사용할 수 있습니다.
    도구 위협 행위자가 공격을 수행하는 데 사용하는 합법적인 소프트웨어입니다. 위협 행위자가 사용하는 방법과 도구를 알면 위협 행위자가 캠페인을 실행하는 방법을 이해할 수 있습니다. 도구에는 엔터프라이즈 시스템에서 찾을 수 없는 소프트웨어와 Microsoft Windows 유틸리티와 같은 환경에 이미 있는 운영 체제의 일부로 사용할 수 있는 소프트웨어가 모두 포함됩니다.

    예를 들어 gsecdump는 APTI1 악의적 사용자 그룹이 Microsoft Windows 운영 체제에서 암호 해시 및 LSA 비밀(로컬 보안 기관)을 가져오는 데 사용하는 공개적으로 사용 가능한 자격 증명 덤퍼입니다.
    맬웨어 악의적 사용자가 악의적인 목적으로 사용하도록 의도된 상용, 사용자 지정 비공개 소스 또는 오픈 소스 소프트웨어입니다.

    예를 들어 PlugX, CHOPSTICK 등이 있습니다
    플랫폼 특정 플랫폼을 대표하는 MITRE-ATT&CK 전술 및 기술입니다.

    예를 들어 MITRE-ATT&CK 는 엔터프라이즈 ATT&CK 매트릭스에서 Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Network 플랫폼을 지원합니다.
    데이터 소스 사용자 환경에서 수집하고 기술을 검색 MITRE-ATT&CK 하는 데 사용하는 데이터 원본입니다.

    DLL 모니터링 및 브라우저 확장을 예로 들 수 있습니다.
    다음 그림에서는 탐색기에서 사용할 수 있는 모든 기본 필터를 보여 줍니다 MITRE-ATT&CK .

    기본 필터.

    기본 및 고급 기능이 있는 히트맵 사용

    고급 필터가 있는 히트맵을 사용하면 보안 인시던트와 MITRE-ATT&CK 정보의 상관 관계를 분석할 수 있습니다.

    기술 ID 보기

    기술 ID 표시 필터를 선택하면 기술 이름과 함께 기술 ID를 볼 MITRE-ATT&CK 수 있습니다.

    우선순위별로 관련 기술 보기

    탐색기에서 관련 우선순위를 기준으로 기술을 필터링하려면 기술 관련 우선순위 필터로 필터링 을 선택하고 메뉴에서 관련 우선순위 를 선택합니다. 필터링을 위해 여러 우선순위를 할당할 수 있습니다. 히트 맵에서 기술을 가리켜 기술의 우선 순위를 알 수도 있습니다.

    관련 우선순위 정보는 기술 관련 우선순위 필드에 설정한 우선순위를 기반으로 합니다.

    기술 탐지 범위 보기

    히트맵에서 전체 기술 탐지 범위를 보려면 기술 탐지 범위 표시 필터를 선택합니다. 히트 맵은 커버리지가 없는 사각지대를 포함하여 탐지 커버리지의 시각적 스펙트럼을 강조 표시합니다. 기본 시스템 점수 매기기 정의 및 색상이 기술 탐지 범위에 정의되어 있습니다. 이 정보는 전체 기술 탐지 범위에서 자동으로 추출되었습니다.

    예를 들어 히트맵에서 빨간색으로 표시된 영역은 감지되지 않음을 나타냅니다. 파란색으로 표시된 영역은 전체 감지 기능이 있음을 나타냅니다. 주황색, 노란색 및 연한 파란색으로 표시된 영역은 부분 감지 기능을 반영합니다.

    • 색상 시각화는 사용자가 정의한 기술 정의와 색상 코딩 을 기반으로 합니다.
    • 범위 시각화는 사용자가 정의하는 기술 탐지 범위 매핑 을 기반으로 합니다.
    • 기본 시스템 범위 정의를 수정하면 범위 유형 아이콘이 히트맵에 기술과 함께 표시되지 않습니다.
      주:
      기본 시스템에 정의된 기술 탐지 범위 및 범위 색상과 동일한 필드를 수정하면 히트맵이 예상대로 작동합니다.

    이 그림에서는 모든 기술 및 하위 기술에 대한 기술 탐지 범위와 해당 색상 및 아이콘과 함께 범위 유형을 볼 수 있습니다.

    기술 완화 범위 보기

    히트맵에서 전체 기술 완화 범위를 보려면 기술 완화 범위 표시 필터를 선택합니다. 히트맵은 적용 범위가 없는 영역을 포함하여 완화 적용 범위의 시각적 스펙트럼을 강조 표시합니다. 완화 범위, 색상 및 백분율 범위는 완화 범위 정의에 정의되어 있습니다. 이 정보는 전체 기술 완화 범위에서 추출됩니다.

    예를 들어 빨간색으로 강조 표시된 기술은 완화 범위가 없음을 나타내고, 주황색은 완화 범위가 좋지 않음을 나타내고, 파란색은 완화 범위가 우수함을 나타냅니다.
    • 색상 시각화는 사용자가 정의한 기술 완화 정의 및 색상 코딩 을 기반으로 합니다.
    • 범위 시각화는 사용자가 정의하는 기술 완화 범위 매핑 을 기반으로 합니다.
    • 기본 시스템 완화 범위 정의를 수정하면 완화 범위 유형 아이콘이 히트맵에 기술과 함께 표시되지 않습니다.
      주:
      기본 시스템에 정의된 기술 완화 범위 및 범위 색상과 동일한 필드를 수정하면 히트맵이 예상대로 작동합니다.

    탐지 및 완화 범위 보기

    기술 탐지 및 기술 완화 범위 필터를 함께 사용하여 기술 탐지의 관련성에 대한 인사이트를 얻고 조직의 범위를 완화할 수 있습니다.

    이 그림에서는 검색 및 완화 필터를 함께 사용하는 방법을 보여 줍니다.

    위협 그룹 보기

    히트맵에서 위협 그룹에 대한 기술 정보를 보려면 위협 그룹 히트맵 표시를 선택합니다. 특정 기술을 사용하는 위협 그룹의 수를 측정할 수 있습니다. 공격자 수가 많을 때 특정 기술을 사용하여 공격할 확률이 높아집니다. 위협 그룹 범위 및 히트맵 색상은 Threat Group-Technique 히트맵 정의에 정의되어 있습니다.

    기술과 관련된 보안 인시던트 보기

    조직에서 자주 악용되고 보안 문제를 일으킨 기술을 보려면 기술과 관련된 보안 인시던트 표시를 클릭합니다. 분석을 위해 새 창에서 열리는 링크를 클릭하면 연결된 각 보안 인시던트에 대한 자세한 정보를 볼 수 있습니다.

    • 우선 순위: 보안 인시던트 우선 순위를 선택하여 보안 인시던트 우선 순위로 필터링합니다.
    • 날짜 범위: 보안 인시던트 날짜 범위를 선택하여 날짜 범위를 기준으로 보안 문제를 필터링합니다.
    • 가양성: 가양성 보안 인시던트 필터링 을 선택하여 가양성 문제를 제거합니다. 이 필터를 선택하면 히트맵에 표시되는 보안 인시던트 수가 줄어듭니다.

    이 필터를 기술 검색 범위 표시 필터와 함께 사용하면 선택한 날짜까지 조직에 대한 기술 검색 범위의 관련성에 대한 인사이트를 얻을 수 있습니다.

    예를 들어, 두 필터를 모두 켜면 방어 회피 전술에서 마스커레이딩 기술이 적용되지 않는 것을 볼 수 있습니다. 더 자세히 살펴보면 마스커레이딩 기술은 가장 무도회 작업 또는 서비스와 관련이 있으며 이와 관련된 보안 인시던트도 있습니다. 이는 마스커레이딩 기술에 대한 기술 탐지 범위에 차이가 있음을 나타내며 전체 기술 탐지 범위를 수정할 수 있습니다.

    탐지 규칙 보기

    특정 기술에 대해 정의된 탐지 규칙이 있는지 보려면 탐지 규칙 표시를 클릭합니다. 연결된 각 탐지 규칙을 해당 정의와 함께 볼 수도 있습니다.

    이 정보는 사용자가 정의한 탐지 규칙 매핑 을 기반으로 합니다.

    기술과 관련된 CVE 보기

    각 기술과 관련된 CVE(Common Vulnerabilities and Exposures) 정보를 보려면 기술과 관련된 CVE 표시를 클릭합니다. 기술 정보에 대한 CVE는 CVE - 기술 매핑 모듈에서 사용할 수 있는 정보를 기반으로 합니다. 이를 통해 알려진 취약성에 대한 통찰력을 제공하고 악의적 사용자가 잠재적으로 조직을 악용할 수 있는지 여부를 알 수 있습니다.

    중요사항:
    히트맵은 VIT와 연결된 관련 CVE만 표시하도록 개선되었습니다

    CVE 및 기술과 연결된 VIT를 보려면 CVE 및 기술과 연결된 VIT 표시를 선택합니다. 또한 VIT가 없는 기술을 추가로 필터링하려면 VIT가 없는 기술 숨기기를 선택합니다. 사용자가 보는 CVE 및 VIT 정보는 사용자 환경의 제품에서 Vulnerability Response 가져옵니다. 히트맵에서 필터링된 CVE 및 VIT 목록을 보고 히트맵에서 모든 기술에 대한 각 CVE 또는 VIT로 이동할 수 있습니다.

    주:
    • 기술과 연관된 CVE 표시는 제품이 사용자 환경에 설치된 경우에만 Vulnerability Response 사용할 수 있습니다.
    • VIT 및 CVE 정보는 설정한 예약된 작업을 기반으로 계산됩니다. MITRE-ATT&CK 속성레이블이 표시됩니다. 기본 시스템 예약 작업은 24시간으로 설정됩니다.

    기술 필터와 연결된 보안 인시던트 표시 필터와 함께 이 필터를 사용하면 알려진 취약성으로 인해 조직에서 보안 인시던트가 발생했는지 확인할 수 있습니다.

    각 CVE에 대한 자세한 정보를 보고 CVE가 조직과 관련이 있는지 분석할 수 있습니다. 이렇게 하려면 취약성 항목을 보십시오. 취약성 항목이 생성되면 모듈에서 Vulnerability Response 연결된 CI 정보에 대한 자세한 정보를 볼 수 있습니다. 심각도와 우선순위를 검토하여 정보에 입각한 결정을 내릴 수도 있습니다.

    보안 인시던트 분석

    보안 인시던트를 분석하고 악의적 사용자가 공격에 사용하는 기술을 검토하려면 보안 인시던트 분석을 클릭합니다. 쉼표로 구분된 문자열을 사용하여 분석할 보안 인시던트를 여러 개 추가할 수 있습니다.

    이 필터는 보안 인시던트를 분석하는 데 도움이 됩니다. 인시던트가 발생한 이유, 악용된 기술, 알려진 위협 행위자가 관련되어 있는지, 위협 행위자가 공격에 특정 시퀀스를 사용했는지 등을 알 수 있습니다. 여러 보안 인시던트를 동시에 분석할 수 있기 때문에 정보의 상관 관계를 지정하여 인시던트가 서로 관련이 있는지 아니면 별개의 인시던트인지 확인할 수 있습니다. 보안 인시던트가 관련되어 있고 패턴을 관찰하는 경우 킬 체인에서 진행 상황을 검토하여 공격을 중지하거나 조직의 방어 전략을 수립할 수 있습니다.

    보안 인시던트 분석 필터를 기본 필터( 예: 악의적 그룹)와 함께 사용하면 알려진 악의적 사용자가 관련되어 있는지 상관 관계를 파악할 수 있습니다. 예를 들어 여러 보안 인시던트를 분석할 때 보안 인시던트와 관련된 기술은 킬 체인 형태로 존재합니다. 정보를 악의적 사용자와 겹치면 보안 인시던트와 관련된 기술과 악의적 사용자와 관련된 기술이 겹치는 것을 알 수 있습니다. 두 필터가 모두 활성화된 경우 중복된 기술 정보만 표시됩니다.

    오버레이를 사용하여 보안 인시던트 및 악의적 그룹 분석

    오버레이/ 분석 사용 필터를 사용하여 공격자의 동작을 보고, 하나 이상의 보안 인시던트를 분석하고, 정보의 상관 관계를 파악하여 공격이 고립된 인시던트인지 아니면 알려진 악의적 사용자에 의한 조직화된 공격인지 확인합니다.

    예를 들어, 이제 보안 인시던트와 위협 공격자 킬 체인 동작을 동일한 보기에서 볼 수 있습니다. 이 보기는 공격 및 알려진 악의적 사용자의 동작을 알려주는 중복 정보를 제공합니다. 이를 통해 이 공격이 고립된 공격인지 아니면 알려진 악의적 사용자에 의한 조직화된 공격인지 분석할 수 있습니다.

    오버레이 분석 필터를 사용하도록 설정하면 반대자 그룹 필터를 제외한 모든 기본 필터가 무시되고, 뷰를 생성하는 동안 고급 필터 기술 관련 우선 순위별 필터링 이 무시됩니다.

    오버레이 분석 필터를 활성화한 후에는 색상표를 사용하여 다음에 대한 색상을 할당합니다.
    • 보안 인시던트 분석
    • 반대 그룹
    • 오버레이

    다음 그림은 악의적 그룹 APT18이 킬 체인의 여러 기술과 전술에 분산되어 있음을 보여줍니다. 또한 분석 결과, 추적 중인 악의적 그룹 및 보안 인시던트를 오버레이하는 세 가지 기술이 있음을 알 수 있습니다.