1.2.1 Threat Intelligence 威胁情报
如何开始使用 ATT&CK?
旨在回答四个关键用例的问题:
**威胁情报
检测和分析
对手仿真和红队
评估和工程**
ATT&CK 对于任何想要转向以威胁为导向的防御的组织都非常有用,因此我们希望分享有关如何开始的想法,无论您的团队多么复杂。
我们将把这些帖子分成不同的级别:
**Level 1 适用于那些刚开始可能没有很多资源的人
Level 2 中级团队开始成熟
Level 3适用于更高级的网络安全团队和资源**
我们从谈论威胁情报开始,因为它是最好的用例
2018 年,我对如何使用 ATT&CK 推进网络威胁进行了高级概述
情报(CTI)。 在本章中,我将以此为基础,分享一些实用的入门建议。
LEVEL 1
网络威胁情报就是要知道你的对手做了什么并使用它的信息以改进决策。对于一个只有几个分析师想要开始使用 ATT&CK 进行威胁情报的组织,您可以开始的一种方法是选择一个您关心的小组,并按照 ATT&CK 的结构查看他们的行为。
您可以根据我们在网站上映射的组中选择一个组他们以前针对的组织。 或者,许多威胁情报订阅
供应商也映射到 ATT&CK,因此您可以使用他们的信息作为参考。
https://attack.mitre.org/groups/示例:如果您是一家制药公司,您可以在我们的搜索栏中搜索或在我们的群组页面上确定 APT19 是一个针对您所在行业的群组
从那里,您可以调出该组的页面以查看他们使用的技术(仅基于我们绘制的开源报告),因此您可以了解更多关于他们。 如果您因为不熟悉而需要有关该技术的更多信息,请不要担心——它就在 ATT&CK 网站上。 您可以对每个我们使用该组映射的软件样本,我们在ATT&CK 网站。
示例:APT19 使用的一种技术是注册表运行键/启动文件夹
https://attack.mitre.org/groups/G0073/
https://attack.mitre.org/techniques/T1547/001/那么,我们如何使这些信息具有可操作性,这就是威胁情报的全部意义所在?让我们与我们的捍卫者分享它,因为这是一个针对我们部门的团体,我们想要防御他们。执行此操作时,您可以查看 ATT&CK 网站以获取一些想法,以帮助您开始使用检测和缓解技术。
示例:让您的防御者了解 APT19 使用的特定注册表运行密钥。
但是,他们可能会改变这一点并使用不同的运行密钥。 如果您查看有关该技术的检测建议,您会看到一个建议是监视注册表以查找您不希望在您的环境中看到的新运行键。 这将是与你的防守者进行的一次很棒的对话。
