Siber güvenlik dünyasında belki de en çok atıfta bulunulan çerçeve: MITRE ATT&CK. Ama çoğu SOC analisti onu günlük iş akışına entegre edemez. Ya çerçeveyi yüzeyel kullanır, ya da "matris panosu" olarak görür. Bu yazıda çerçeveyi pratik olarak nasıl kullanacağınızı ele alıyoruz.
MITRE ATT&CK Nedir?
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), gerçek dünya saldırılarından elde edilmiş taktik ve tekniklerin halka açık veritabanıdır. 2013'te başlayan proje bugün 14 ana taktik ve 200'den fazla teknik içerir.
Matrisin kolonları taktikler (neden yapılıyor), satırları teknikler (nasıl yapılıyor):
| Taktik ID | Taktik | Amaç |
|---|---|---|
| TA0001 | Initial Access | İlk sızma |
| TA0002 | Execution | Kod çalıştırma |
| TA0003 | Persistence | Sistemde kalıcılık |
| TA0004 | Privilege Escalation | Yetki yükseltme |
| TA0005 | Defense Evasion | Tespit kaçınma |
| TA0006 | Credential Access | Kimlik çalma |
| TA0007 | Discovery | Ortam keşfi |
| TA0008 | Lateral Movement | Yanal hareket |
| TA0009 | Collection | Veri toplama |
| TA0010 | Exfiltration | Veri sızdırma |
| TA0011 | Command & Control | Komuta-kontrol |
| TA0040 | Impact | Etki yaratma |
Neden Önemli?
Üç ana sebep:
1. Ortak Dil
Raporlarda "arkadaşın şifreyi çaldı" yerine T1110.001 (Password Guessing) demek, iletişimi standartlaştırır. Threat intelligence paylaşımı, vendor raporları, regulation dokümanları hep ATT&CK referansı verir.
2. Kapsam Ölçümü
SIEM'inizin hangi taktiği ne kadar iyi tespit ettiğini ölçebilirsiniz:
- "Credential Access taktiğinin 8 tekniğinden 5'ini tespit edebiliyoruz"
- "Persistence'ta hiçbir kural yok — büyük boşluk"
Bu objektif bir metriktir. Yönetime sunum için mükemmeldir.
3. Korelasyon
Saldırıların birden fazla taktik içerdiğini bilirsiniz. Tek başına "başarısız login" normal olabilir, ama aynı IP'den sonra Discovery → Execution → Persistence zinciri = kesin saldırı.
Pratik Örnek: Bir Fidye Yazılımı Saldırısı
Bir ransomware saldırısını ATT&CK ile haritalayalım:
09:14 E-mailde malicious .doc açıldı
→ T1566.001 (Spearphishing Attachment)
09:15 Macro çalıştı, PowerShell indirdi
→ T1059.005 (Visual Basic) + T1059.001 (PowerShell)
09:17 LSASS memory'den credential dump
→ T1003.001 (LSASS Memory)
09:22 Admin credential'ları ile SMB share erişimi
→ T1021.002 (SMB/Windows Admin Shares)
09:25 Domain Controller'a pass-the-hash
→ T1550.002 (Pass the Hash)
09:30 Yeni service kuruldu (persistence)
→ T1543.003 (Windows Service)
09:35 Shadow copies silindi
→ T1490 (Inhibit System Recovery)
09:40 Ransomware çalıştı, dosyalar şifrelendi
→ T1486 (Data Encrypted for Impact)26 dakika içinde 8 farklı teknik kullanıldı. ATT&CK haritası olmasa, her birini ayrı ayrı görür ama zinciri tanıyamazdınız.
SIEM'e Nasıl Entegre Edilir?
Adım 1: Kurallarınıza ATT&CK Tag'leri Ekleyin
Her alarm kuralınıza technique_id alanı ekleyin:
ALTER TABLE alarm_kurallari ADD COLUMN mitre_techniques TEXT[];
UPDATE alarm_kurallari
SET mitre_techniques = ARRAY['T1110.001', 'T1078.002']
WHERE rule_name = 'brute_force_admin';Adım 2: Tespit Haritası Oluşturun
Hangi tekniği kaç kuralla tespit ediyorsunuz?
SELECT
unnest(mitre_techniques) AS technique,
COUNT(*) AS detection_count,
ARRAY_AGG(rule_name) AS rules
FROM alarm_kurallari
WHERE is_active = TRUE
GROUP BY technique
ORDER BY technique;Sonuç:
| T1110 (Brute Force) | 4 kural |
| T1078 (Valid Accounts) | 2 kural |
| T1003.001 (LSASS) | 0 kural ⚠️ |
| T1486 (Ransomware Encryption) | 1 kural |
LSASS tespiti sıfır — büyük güvenlik boşluğu. Öncelik verilmeli.
Adım 3: Heatmap Visualizasyonu
ATT&CK matrisini tespit kapsamınıza göre renklendirin:
- 🟢 Yeşil: 3+ kural
- 🟡 Sarı: 1-2 kural
- 🔴 Kırmızı: Kural yok
Bu bir yönetim dashboard'u olarak mükemmeldir.
Adım 4: Threat Hunting
Tespit kuralları reactive'dir — saldırı olduktan sonra alarm verir. Threat hunting proactive'dir — olmadan arar.
ATT&CK ile hunting query'leri:
-- T1059.001 PowerShell: Encoded command araştırma
SELECT ts, device_hostname, username, extra->>'command_line'
FROM logs
WHERE category = 'powershell'
AND extra->>'command_line' ~* '-enc|-EncodedCommand|FromBase64String'
AND ts > NOW() - INTERVAL '7 days';
-- T1547.001 Registry Run Keys: Persistence kontrolü
SELECT ts, device_hostname, extra->>'registry_path'
FROM logs
WHERE event_id = 13 -- Sysmon registry set
AND extra->>'registry_path' ~ 'Run|RunOnce'
AND ts > NOW() - INTERVAL '24 hours';MITRE Navigator
MITRE kendi ATT&CK Navigator'ını sunar — ücretsiz, web-based, interaktif:
mitre-attack.github.io/attack-navigator
Bu araçta:
- Tespit ettiğiniz teknikleri yeşil yapın
- Tehdit grupları (APT) filtresi uygulayın
- JSON export → raporlama
- Multi-layer karşılaştırma
Tehdit Aktörleri (Groups)
ATT&CK bir de threat groups (tehdit aktör profili) sunar. Örneğin:
- G0007 APT28 (Fancy Bear) — Rus GRU, 30+ teknik kullanır
- G0016 APT29 (Cozy Bear) — SVR, sofistike persistence
- G0034 Sandworm — NotPetya, Ukrayna altyapı saldırıları
Eğer bir sektörü hedef alan bir grubu biliyorsanız (örn. "Türkiye'deki bankalar APT41 hedefinde"), o grubun kullandığı teknikleri öncelikli tespit edersiniz.
D3FEND — Defansif Karşılık
MITRE, ATT&CK'in karşılığı olarak D3FEND çerçevesini de yayınladı. Her ATT&CK tekniğinin savunma karşılığı burada:
- T1110 (Brute Force) → D3-AL (Account Locking), D3-MFA
- T1486 (Encryption) → D3-FHRA (File Hashing), D3-BSE (Backup)
Defensive kontrollerinizi D3FEND haritasında gösterin.
Özet
- ATT&CK bir ortak dildir — 14 taktik, 200+ teknik
- Her SIEM alarmına technique_id atayın
- Kapsam haritası ile güvenlik açıklarını objektif ölçün
- Sektörünüzü hedefleyen threat groups için öncelikli tespit yapın
- Threat hunting query'lerinizi ATT&CK ile organize edin
- D3FEND ile savunma kontrollerinizi haritalayın