Usando el Tablero MITRE ATT&CK®

Este artículo discute cómo usar el MITRE ATT&CK® Dashboard para obtener una visión general de las tácticas y técnicas de amenaza en tu red.

Visión general del MITRE ATT&CK® Dashboard

El MITRE ATT&CK® Dashboard mapea las amenazas identificadas por el servicio de Cato IPS a tácticas y técnicas que se presentan en la Matriz MITRE ATT&CK®. Esto proporciona un marco poderoso para analizar amenazas e identificar las diversas fases de los ataques. Las tácticas de MITRE ATT&CK® son los objetivos de alto nivel en un vector de ataque, mientras que las técnicas son métodos específicos utilizados para lograr estos objetivos.

El dashboard contiene una serie de widgets que proporcionan visibilidad y análisis, incluyendo:

  • Resumen de las tácticas identificadas en tu red, con el número de eventos para cada táctica

  • Desglose de las técnicas para cada táctica

  • Las técnicas más comunes identificadas en tu red

  • Distribución de dispositivos para cada técnica

  • Distribución temporal de las tácticas identificadas

  • Fuentes en tu red que generaron la mayor cantidad de eventos de seguridad

Comenzando con el MITRE ATT&CK® Dashboard

Los widgets del MITRE ATT&CK® Dashboard presentan un resumen de las tácticas y técnicas de ataque identificadas en tu red. También puedes profundizar para ver detalles granulares y análisis de cada técnica, o ver la pantalla de eventos pre-filtrada para una táctica o técnica.

Por defecto, el dashboard muestra datos para eventos de Monitor IPS (incluyendo eventos de Actividad Sospechosa) y eventos de Bloqueo. Para un análisis más centrado, puedes filtrar el dashboard para mostrar solo datos para eventos de Monitor, o eventos de Bloqueo.

MITRE_Dashboard.png

Para mostrar el MITRE ATT&CK® Dashboard:

Trabajando con los Widgets del MITRE ATT&CK® Dashboard

Esta sección explica los widgets disponibles en el MITRE ATT&CK® Dashboard. Los datos mostrados en el dashboard se basan en el rango de tiempo configurado.

Estos son los widgets:

  • Resumen de tácticas - La fila superior del dashboard muestra las tácticas identificadas en tu red, con el número de eventos generados para cada táctica. Las tácticas se muestran según las fases en el ciclo de vida del ataque, siguiendo el arreglo de izquierda a derecha en la Matriz MITRE ATT&CK®.

  • Desglose de técnicas - El panel izquierdo muestra las técnicas utilizadas para cada táctica, con el número de eventos para cada técnica. Haz clic en la fila de una técnica para abrir el panel de Detalles que contiene la siguiente información y widgets:

    • Descripción básica de la táctica y la técnica según las definiciones de MITRE ATT&CK®

    • Ataques en el tiempo - Distribución temporal de los ataques que usan esta técnica. Haz clic y arrastra para acercar en:

      • Tiempo de eventos

      • Número de eventos

    • Fuentes principales - Muestra una lista de las fuentes principales para la técnica, con el número de eventos MITRE ATT&CK® para cada fuente. Haz clic en la fila de una fuente para abrir la pantalla de eventos pre-filtrada para la técnica y la fuente.

    • Distribución de dispositivos - La fila inferior muestra iconos de SO con el número de eventos generados para la técnica en cada SO

    MITRE_Details.png
  • Técnicas Principales - Muestra una lista de las técnicas MITRE ATT&CK® principales con el número de eventos para cada una. Haz clic en el nombre de una técnica para abrir la pantalla de eventos pre-filtrada para esa técnica.

  • Distribución de tácticas en el tiempo - Grafica los eventos para cada táctica en una línea de tiempo.

    MITRE_Tactics_Time_Widget.png
    • Pasa el ratón sobre el gráfico para mostrar un resumen de eventos para un punto en la línea de tiempo

    • Haz clic en el botón de alternar de una táctica para activar o desactivar su gráfico

    • Haz clic en el nombre de una táctica para abrir la pantalla de eventos pre-filtrada para la táctica

    • Haz clic y arrastra para acercar en:

      • Tiempo de eventos

      • Número de eventos

  • Eventos de Seguridad Principales - Fuentes que generaron la mayor cantidad total de eventos de seguridad, incluyendo MITRE ATT&CK® y otros tipos de eventos. La columna de Técnicas MITRE muestra la técnica principal identificada para una fuente.

    • Pasa el ratón sobre un número en la columna de Técnicas MITRE para mostrar técnicas adicionales para la fuente.

    • Haz clic en la fila de una fuente para abrir la pantalla de eventos pre-filtrada para la fuente.

Análisis de Amenazas de Ejemplo con el MITRE ATT&CK® Dashboard

Después de que el servicio IPS bloquea un ataque, puedes analizarlo con el MITRE ATT&CK® Dashboard y tomar acciones para detener ataques similares en una etapa más temprana. Este es un ejemplo de un análisis de amenazas y acciones posibles:

  1. El panel izquierdo muestra 80 eventos de Phishing bajo la táctica de Acceso Inicial.

  2. En el panel de Detalles para la técnica de Phishing, el widget de Fuentes Principales muestra que un usuario generó 25 de los eventos, y un segundo usuario generó 20.

  3. La fila inferior del panel de Detalles muestra que 60 de los eventos fueron generados por dispositivos Windows, y 20 por dispositivos Android.

  4. Investiga a los dos usuarios problemáticos para averiguar por qué son vulnerables a estos ataques.

  5. Educa y entrena a los usuarios para evitar ataques de phishing en el futuro.

  6. Verifica que todos los dispositivos Windows y Android en tu red tengan las actualizaciones de seguridad requeridas.

Información de Licencia

Licencia MITRE

La Corporación MITRE (MITRE) te concede por la presente una licencia no exclusiva y libre de regalías para usar ATT&CK® para propósitos de investigación, desarrollo y comerciales. Cualquier copia que hagas para tales propósitos está autorizada siempre que reproduzcas la designación de copyright de MITRE y esta licencia en cualquier copia.

© 2022 La Corporación MITRE. Este trabajo es reproducido y distribuido con el permiso de La Corporación MITRE.

Aviso legal

La información en esta aplicación es únicamente para propósitos informativos generales. El uso de la aplicación es bajo tu propio riesgo. Esta aplicación puede contener enlaces a contenido de terceros, del cual no garantizamos, endosamos ni asumimos responsabilidad. Cato Networks no hace representaciones ni garantías de ningún tipo, expresas o implícitas, sobre la integridad, exactitud, fiabilidad, idoneidad o disponibilidad con respecto a la aplicación o la información, servicios o gráficos relacionados contenidos en la aplicación para cualquier propósito. Cualquier confianza que deposites en dicha información es, por lo tanto, estrictamente bajo tu propio riesgo.

En ningún caso Cato Networks será responsable de ninguna pérdida o daño, incluidos pero no limitados a pérdidas o daños indirectos o consecuentes, o cualquier pérdida o daño que surja de la pérdida de datos o beneficios que surjan de, o en conexión con, el uso de esta aplicación.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios