MITRE ATT&CK实践入门1
需积分: 0 152 浏览量
2022-08-04
12:33:11
上传
评论
收藏 315KB PDF 举报
MITRE ATT&CK
实
践
⼊
⻔
⽂
章
结
构
围
绕
4
个
关
键
⽤
例
1.
⽹络
威
胁
情报
2.
检
测
与
分
析
3.
对
⼿
模
拟
与
红
队
4.
评
估
与
⼯
程
以
3
个
层
次
讲
述
第
⼀
层
:
资
源
少
的
初
始
团
队
/
新
⼿
第
⼆
层
:
⾛
向
成
熟
的
中
等
安
全
团
队
第
三
层
:
拥
有
⾼
级
安
全
团
队
和
更
多
资
源
的
组织
机构
⽹络
威
胁
情报
第
⼀
层
:
1.
查
询
已
映
射
ATT&CK
的
开
源
报
告
2.
查
询
每
个
威
胁
组织
的
TTP
和
检
测
、
缓
解
措施
第
⼆
层
:
将
⾃
⼰
的
情报
映
射
⾄
ATT&CK
,
映
射
的
具
体
步
骤
:
1.
理
解
ATT&CK
(
结
构
、
定
义
)
2.
找
出
指
标
与
⾏
为
e.g.
原
⼦
指
标
:
IP
e.g.
⾏
为
:
建
⽴
Socks5
通
讯
3.
研
究
⾏
为
4.
将
⾏
为
转
译
为
战
术
(Tactics)
5.
确
定
⾏
为
⾥
所
应
⽤
的
技
术
(Techniques)
6.
对
⽐
其
他
分
析
师
的
结
果
第
三
层
:
1.
从
更
多
数据
源
处
进
⾏
映
射
事件
响
应
数据
OSINT
情报
源
威
胁
情报
订
阅
源
实
时
告
警
信
息
组织
历史
信
息
2.
根
据
映
射
的
ATT&CK
信
息
来
规
划
防
御
步
骤
检
测
与
分
析
第
⼀
层
:
1.
了
解
组织
内
拥
有
的
数据
源
。
可
以
对
照
ATT&CK
中
的
DataSource
部
分
进
⾏
收
集
。
重
要
的
⼀
些
数据
源
包
括
:
进
程
及命
令
⾏
监
控
⽂
件
及
注
册
表
监
控
身
份
验
证
⽇
志
⽹络
数据
包
捕
获
2.
收
集
数据
并
输
⼊
⾄
SIEM
测
试
数据
集
可参
考
:
Splunk Botsv2
测
试
环
境
搭
建
可参
考
:
DetectionLab
3.
观
察
他⼈
创
建
的
分
析
,
应
⽤
到
⾃
⼰
的
数据
上
适
合
初
学
者
的
分
析案
例
:
CAR-2016-03-002
从
分
析
到
检
测
的
完
整
流
程
:
1.
分
析
攻
击
技
术
2.
得
出
检
测
伪代
码
3.
编
写
SIEM
查
询语
句
4.
⾃
动化
第
⼆
层
1.
编
写
⾃
⼰
的
分
析来
扩
展
覆
盖
⾯
,
包
括
两
⽅
⾯
:
理
解
攻
击
机
制
发
现
攻
击
在
数据
中
的
反
应
2.
具
体
实
施
进
⾏
模
拟
攻
击
使
⽤
⼯
具
:
Atomic Red Team
收
集
攻
击
的
⽇
志
数据
使
⽤
⼯
具
:
DetectionLab
寻
找指
标
并
编
写
搜
索
语
句
3.
迭
代
分
析
流
程
:
1.
编
写
搜
索
语
句
检
测
恶意
⾏
为
2.
修
正
搜
索
以
减
少
误
报
3.
同
时
确
保
恶意
⾏
为
的
检
出
第
三
层
1.
进
⾏
真
实
的
红
蓝
对
抗
2.
在
对
抗
中
完
善
对
不
同
攻
击
技
术
的
检
测
策
略
3.
追
踪
检
测
策
略
的
覆
盖
情
况
使
⽤
⼯
具
:
ATT&CK Navigator
例
如
使
⽤
颜
⾊
标
注
:
红
⾊
:
未
覆
盖
⻩
⾊
:⼀
定
程
度
的
覆
盖
绿
⾊
:
⾼
完
成
度
的
覆
盖
相
关
资
源
⽹络
分
析
库
(CAR):MITRE
的
分
析
库
EQL: Endgame
的
开
源
分
析
库
Sigma:
⼀
种
⼯
具
⽆
关
的
分
析格
式
,
附
带
按
此
格
式
编
写
的
分
析
库
威
胁
猎
⼿战
术
⼿
册
:
在
⽇
志
数据
中
查
找
ATT&CK
技
术
的
策
略
库
原
⼦
红
队
(Atomic Red Team)
检
测
实
验
室
(Detection Lab)
BOTS: Splunk
的
Boss of the SOC
数据
集
,
含
背
景
噪
⾳
和
红
队
攻
击
BRAWL Public Game: MITRE
的
红
队
数据
集
ATT&CK Navigator: ATT&CK
矩
阵
数据
可
视
化
⼯
具
评
估
与
⼯
程
第
⼀
层
阶
段
建
议
:
相
⽐
全
⾯
评
估
,
更
建
议
从
⼩
处
⼊
⼿
。
做
法
:
选
择
⼀
种
技
术
,
确
定对
此
技
术
对
覆
盖
率
,
进
⾏
适
当
⼯
程
强
化
后
,
开
始
检
测
此
技
术
第
⼆
层
阶
段
建
议
:
扩
⼤
技
术
的
评
估
,
使
⽤
ATT&CK
覆
盖
热
度
图
进
⾏
追
踪
做
法
:
技
术
覆
盖
度
可
分
为
⾼
中低
置
信
度
对
检
测
⼯
具
进
⾏
迭
代
:
⼯
具
在哪
⾥
运
⾏
:
边
界
还
是
端
点
?
⼯
具
检
测
的
原
理
:
静
态
指
针
还
是
⾏
为
检
测
?
⼯
具
所
监
视
的
数据
源
:
数据
源
类
型
可
以
推断
所
能
检
测
的
攻
击
技
术
提
升
覆
盖
率
主
要
过
程
:
创
建
短
期
内
需
重
点
关
注
的
技
术
列
表
确
保
拉
取
正
确
数据
以供
分
析
开
始
构
建
分
析
并
更
新
覆
盖
图
第
三
层
阶
段
建
议
:
纳
⼊
缓
解
措施
以
强
化
评
估
做
法
:
参
照
ATT&CK
缓
解
措施
(
Mitigation
)
进
⾏
引
⼊
、
实
现
相
关
资
源
ATT&CK Logging Cheat Sheet
(
可
⽤
于
检
测
的
Windows
事件
⽇
志
清
单
)
ATT&CK
数据
地图
(
Datamap
)
项
⽬
Dett&CT
框架
MITRE ATT&CK
脚
本
基
于
ATT&CK
分
析
发
现
⽹络
威
胁
ATT&CK
缓
解
措施
(
ATT&CK Mitigation
)
对
⼿
仿
真
与
红
队
注
:
对
⼿
仿
真
(Adversary Emulation)
与
渗
透
测
试
等
其
他
红
队
形式
不
同
的
是
,
前
者
在
预
先
构
造
的
场
景
下,
使
⽤
特
定
的
TTP
、
针
对
特
征
防
御
⾯
进
⾏
攻
击
,
模
拟
特
定对
⼿
组织
第
⼀
层
使
⽤
对
⼿
仿
真
⼯
具
模
拟
红
队
攻
击
原
⼦
红
队
CALDERA
执
⾏
原
⼦
测
试
的
周
期
:
1.
选
择
⼀个
ATT&CK
技
术
2.
选
择
⼀个
针
对
该
技
术
的
测
试
3.
执
⾏
测
试
过
程
4.
分
析
检
测
过
程
5.
提
⾼
对
抗
能
⼒
第
⼆
层
阶
段
建
议
:
当
团
队
/
组织
具
备
红
队
功
能
时
,
将
技
术映
射
⾄
ATT&CK
重
要
案
例
:
APT3
对
⼿
模
拟⼿
册
使
⽤
⼯
具
:
Cobalt Strike / Empire
已
经
映
射
到
ATT&CK
中
第
三
层
阶
段
任
务
:与
CTI
团
队
合
作
,
创
建
对
⼿
仿
真
任
务
对
⼿
仿
真的
五
个
步
骤
1.
收
集
威
胁
情报
基
于
⾃
身
组织
机构
选
择
⼀个
对
⼿
,与
CTI
团
队
合
作
分
析
该
对
⼿
的
TTP
2.
抽
取
技
术
将
红
队
操
作
映
射
⾄
ATT&CK
,
便于
红
队
进
⾏
攻
击
操
作
3.
分
析
与
组织
基
于
对
⼿
及
其
操
作
⽅
式
的
⼤
量
情报
,
抽
取
出
对
⼿
的
操
作
流
程
图
4.
开
发
⼯
具
和
程
序
在
知
道
红
队
做
什么
、
怎
么
做
之
后
,
需
要
确
定
如
何
实
现
5.
模
拟
对
⼿
红
队
与
蓝
队
开
始
紧
密
合
作
,
仿
真
对
⼿
TTP
进
⾏
相
关
资
源
APT3
对
⼿
模
拟⼿
册
评论0