Was ist MITRE ATT&CK und wie wird es verwendet?

Das vielleicht am häufigsten zitierte Framework in der Welt der Cybersicherheit:MITRE ATT&CK. Doch die meisten SOC-Analysten schaffen es nicht, es in ihren täglichen Arbeitsablauf zu integrieren. Entweder nutzt er den Rahmen oberflächlich oder sieht ihn als „Matrix-Panel“. In diesem Artikel das Frameworkwie man es praktisch nutztWir überlegen.

Was ist MITRE ATT&CK?

MITRE ATT&CK (Gegnerische Taktiken, Techniken und Allgemeinwissen), abgeleitet von realen Angriffen.Öffentliche Datenbank mit Taktiken und TechnikenIst. Das 2013 gestartete Projekt umfasst heute 14 Haupttaktiken und mehr als 200 Techniken.

Die Spalten der Matrix sind Taktiken (Wovonausgeführt wird), Linientechniken (Wiegerade erledigt):

Warum ist es wichtig?

Drei Hauptgründe:

1. Gemeinsame Sprache

Anstelle von „Dein Freund hat das Passwort gestohlen“ in den BerichtenT1110.001 (Passwort erraten)Mittel standardisiert die Kommunikation. Der Austausch von BedrohungsInformationen, Anbieterberichte und Regulierungsdokumente beziehen sich immer auf ATT&CK.

2. Umfangsmessung

Sie können messen, wie gut Ihr SIEM welche Taktik erkennt:

• „Wir können 5 von 8 Techniken der Zugang zu AnmeldeInformationen-Taktik erkennen“
• „Es gibt keine Regeln in der Persistenz – große Lücke“

Dies ist eine objektive Metrik. Perfekt für die Präsentation vor dem Management.

3. Korelasyon

Deine Angriffemehrere TaktikenSie wissen, dass es enthält. „Anmeldung fehlgeschlagen“ allein könnte normal sein, aber nach der gleichen IPEntdeckung → Ausführung → PersistenzKette =entscheidender Angriff.

Praxisbeispiel: Ein Ransomware-Angriff

Lassen Sie uns einen Ransomware-Angriff mit ATT&CK abbilden:

09:14 Schädliches .doc in E-Post geöffnet
       → T1566.001 (Spearphishing-Anhang)

09:15 Makro ausgeführt, PowerShell heruntergeladen
       → T1059.005 (Visual Basic) + T1059.001 (PowerShell)

09:17 AnmeldeInformations-Dump aus dem LSASS-Speicher
       → T1003.001 (LSASS-Speicher)

09:22 SMB-Freigabezugriff mit AdministratoranmeldeInformationen
       → T1021.002 (SMB/Windows Administrator-Freigaben)

09:25 Übergeben Sie den Hash an den Domänencontroller
       → T1550.002 (Übergeben Sie den Hash)

09:30 Neuer Dienst eingerichtet (Persistenz)
       → T1543.003 (Windows-Dienst)

09:35 Schattenkopien gelöscht
       → T1490 (Systemwiederherstellung verhindern)

09:40 Ransomware hat funktioniert, Dateien wurden verschlüsselt
       → T1486 (Daten für Auswirkungen verschlüsselt)

In 26 Minuten wurden 8 verschiedene Techniken angewendet. Wenn es die ATT&CK-Karte nicht gäbe, würde er jede einzeln sehen, aberman würde die Kette nicht erkennen.

Wie erfolgt die Integration in SIEM?

Schritt 1: Fügen Sie Ihren Regeln ATT&CK-Tags hinzu

Für jede AlarmregelTechnik_IDFügen Sie das Feld hinzu:

ALTER TABLE alarm_kurallari ADD COLUMN mitre_Techniken TEXT[];

AKTUALISIEREN Sie alarm_rules
SET mitre_Techniken = ARRAY['T1110.001', 'T1078.002']
WHERE Regelname = 'brute_force_admin';

Schritt 2: Erkennungskarte erstellen

Nach wie vielen Regeln bestimmen Sie welche Technik?

AUSWÄHLEN
  unnest(mitre_Techniken) AS-Technik,
  COUNT(*) AS detector_count,
  ARRAY_AGG(rule_name) AS-Regeln
VON alarm_rules
WO is_active = TRUE
GROUP BY-Technik
ORDER BY-Technik;

Abschluss:

LSASS-Erkennungkeiner— große Sicherheitslücke. Es sollte Vorrang haben.

Schritt 3: Heatmap-Visualisierung

Färben Sie die ATT&CK-Matrix entsprechend Ihrem Erkennungsbereich:

• 🟢 Grün: 3+ Regeln
• 🟡 Gelb: 1-2 Regeln
• 🔴 Rot: Keine Regeln

Dies eignet sich perfekt als Management-Dashboard.

Schritt 4: Bedrohungssuche

Erkennungsregeln sind reaktiv – sie lösen einen Alarm aus, nachdem ein Angriff stattgefunden hat. Threat Hunting ist proaktiv – es sucht ohne.

Jagdabfragen mit ATT&CK:

-- T1059.001 PowerShell: Verschlüsselte Befehlsforschung
SELECT ts, Gerätehostname, Benutzername, extra->>'command_line'
AUS Protokollen
WHERE Kategorie = 'Powershell'
  AND extra->>'command_line' ~* '-enc|-EncodedCommand|FromBase64String'
  AND ts > NOW() - INTERVAL '7 Tage';

-- T1547.001 Registry Run Keys: Persistenzprüfung
SELECT ts, Gerätehostname, extra->>'registry_path'
AUS Protokollen
WHERE event_id = 13 – Sysmon-Registrierung festgelegt
  AND extra->>'registry_path' ~ 'Run|RunOnce'
  AND ts > NOW() - INTERVAL '24 Stunden';

MITRE-Navigator

MITRE besitztATT&CK NavigatorAngebote – kostenlos, webbasiert, interaktiv:

MITRE-attack.github.io/attack-navigator

In diesem Fahrzeug:

• Machen Sie die Techniken, die Sie identifizieren, grün
• Wenden Sie den Bedrohungsgruppenfilter (APT) an
• JSON export → raporlama
• Mehrschichtiger Vergleich

Bedrohungsakteure (Gruppen)

ATT&CK auchBedrohungsgruppen(Bedrohungsakteurprofil). Zum Beispiel:

• G0007 APT28 (Fancy Bear) — Die russische GRU verwendet mehr als 30 Techniken
• G0016 APT29 (Cozy Bear) — SVR, ausgefeilte Persistenz
• G0034 Sandworm — NotPetya, Angriffe auf die ukrainische Infrastruktur

Wenn Sie eine Gruppe kennen, die auf eine Branche abzielt (z. B. „Banken in der Türkei werden von APT41 angegriffen“), informieren Sie sich über die Techniken, die diese Gruppe verwendet.PrioritätserkennungDu wirst.

D3FEND – Defensiver Konter

MITRE, als Gegenstück zu ATT&CKD3FENDEr veröffentlichte auch das Framework. Hier ist das defensive Äquivalent jeder ATT&CK-Technik:

• T1110 (Brute Force) → D3-AL (Kontosperrung), D3-MFA
• T1486 (Verschlüsselung) → D3-FHRA (File Hashing), D3-BSE (Backup)

Zeigen Sie Ihre defensiven Kontrollen auf der D3FEND-Karte.

Zusammenfassung

• ATT&CK ist eine Verkehrssprache – 14 Taktiken, über 200 Techniken
• Zu jedem SIEM-AlarmTechnik_IDzuordnen
• Messen Sie Schwachstellen objektiv mit der Abdeckungskarte
• Priorisieren Sie die Erkennung von Bedrohungsgruppen, die auf Ihre Branche abzielen
• Organisieren Sie Ihre Threat-Hunting-Anfragen mit ATT&CK
• Ordnen Sie Ihre Verteidigungskontrollen mit D3FEND zu