Utilisation du Tableau de bord MITRE ATT&CK®

Cet article explique comment utiliser le tableau de bord MITRE ATT&CK® pour obtenir un aperçu des tactiques et techniques de menace dans votre réseau.

Aperçu du tableau de bord MITRE ATT&CK®

Le tableau de bord MITRE ATT&CK® cartographie les menaces identifiées par le service Cato IPS aux tactiques et techniques présentées dans la matrice MITRE ATT&CK®. Ceci fournit un cadre puissant pour analyser les menaces et identifier les différentes phases des attaques. Les tactiques MITRE ATT&CK® sont les objectifs de haut niveau d'un vecteur d'attaque, tandis que les techniques sont des méthodes spécifiques utilisées pour atteindre ces objectifs.

Le tableau de bord contient un certain nombre de widgets qui offrent visibilité et analyse, notamment :

  • Résumé des tactiques identifiées dans votre réseau, avec le nombre d'événements pour chaque tactique

  • Décomposition des techniques pour chaque tactique

  • Techniques les plus courantes identifiées dans votre réseau

  • Répartition des dispositifs pour chaque technique

  • Répartition temporelle des tactiques identifiées

  • Sources dans votre réseau qui ont généré le plus d'événements de sécurité

Commencer avec le tableau de bord MITRE ATT&CK®

Les widgets du tableau de bord MITRE ATT&CK® présentent un résumé des tactiques et techniques d'attaque identifiées dans votre réseau. Vous pouvez également approfondir pour voir des détails granulaires et des analyses pour chaque technique, ou consulter l'écran des événements pré-filtré pour une tactique ou une technique.

Par défaut, le tableau de bord affiche les données pour les événements Monitor IPS (y compris les événements Activité Suspecte) et Blocage. Pour une analyse plus ciblée, vous pouvez filtrer le tableau de bord pour n'afficher que les données des événements Monitor ou Blocage.

MITRE_Dashboard.png

Pour afficher le tableau de bord MITRE ATT&CK® :

Travailler avec les widgets du tableau de bord MITRE ATT&CK®

Cette section explique les widgets disponibles dans le tableau de bord MITRE ATT&CK®. Les données affichées dans le tableau de bord sont basées sur la plage de temps configurée.

Voici les widgets :

  • Résumé des tactiques - La rangée supérieure du tableau de bord montre les tactiques identifiées dans votre réseau, avec le nombre d'événements générés pour chaque tactique. Les tactiques sont affichées en fonction des phases du cycle de vie de l'attaque, en suivant l'arrangement de gauche à droite dans la matrice MITRE ATT&CK®.

  • Répartition des techniques - Le volet gauche montre les techniques utilisées pour chaque tactique, avec le nombre d'événements pour chaque technique. Cliquez sur la ligne d'une technique pour ouvrir le panneau Détails contenant les informations suivantes et les widgets :

    • Description basique de la tactique et technique selon les définitions de MITRE ATT&CK®

    • Attaques au fil du temps - Répartition temporelle des attaques utilisant cette technique. Cliquez et faites glisser pour zoomer sur :

      • Heure des événements

      • Nombre d'événements

    • Principales sources - Montre une liste des principales sources pour la technique, avec le nombre d'événements MITRE ATT&CK® pour chaque source. Cliquez sur la ligne d'une source pour ouvrir l'écran des événements pré-filtré pour la technique et la source.

    • Répartition des dispositifs - La rangée inférieure montre les icônes OS avec le nombre d'événements générés pour la technique sur chaque OS

    MITRE_Details.png

  • Principales techniques - Montre une liste des principales techniques MITRE ATT&CK® avec le nombre d'événements pour chacune. Cliquez sur le nom d'une technique pour ouvrir l'écran des événements pré-filtré pour cette technique.

  • Répartition des tactiques dans le temps - Graphique des événements pour chaque tactique sur une chronologie.

    MITRE_Tactics_Time_Widget.png

    • Passez la souris sur le graphique pour afficher un résumé des événements pour un point sur la chronologie

    • Cliquez sur le bouton d'activation d'une tactique pour activer ou désactiver son graphique

    • Cliquez sur le nom d'une tactique pour ouvrir l'écran des événements pré-filtré pour la tactique

    • Cliquez et faites glisser pour zoomer sur :

      • Heure des événements

      • Nombre d'événements

  • Principaux événements de sécurité - Sources qui ont généré le plus grand nombre total d'événements de sécurité, y compris MITRE ATT&CK® et d'autres types d'événements. La colonne des techniques MITRE montre la technique principale identifiée pour une source.

    • Passez la souris sur un chiffre dans la colonne des techniques MITRE pour afficher des techniques supplémentaires pour la source.

    • Cliquez sur la ligne d'une source pour ouvrir l'écran des événements pré-filtré pour la source.

Exemple d'analyse de menace avec le tableau de bord MITRE ATT&CK®

Après que le service IPS a bloqué une attaque, vous pouvez l'analyser avec le tableau de bord MITRE ATT&CK® et prendre des mesures pour arrêter des attaques similaires à un stade plus précoce. Voici un exemple d'analyse de menace et d'actions possibles :

  1. Le volet gauche montre 80 événements de phishing sous la tactique d'accès initial.

  2. Dans le panneau Détails pour la technique de phishing, le widget des sources principales montre qu'un utilisateur a généré 25 des événements, et un deuxième utilisateur en a généré 20.

  3. La rangée inférieure du panneau Détails montre que 60 des événements ont été générés par des dispositifs Windows, et 20 par des dispositifs Android.

  4. Enquêtez sur les deux utilisateurs problématiques pour découvrir pourquoi ils sont vulnérables à ces attaques.

  5. Éduquez et formez les utilisateurs pour éviter les attaques de phishing à l'avenir.

  6. Vérifiez que tous les dispositifs Windows et Android de votre réseau possèdent les mises à jour de sécurité requises.

Informations sur la licence

Licence MITRE

La Corporation MITRE (MITRE) vous accorde par la présente une licence non exclusive et sans redevance pour utiliser ATT&CK® à des fins de recherche, développement et commerciales. Toute copie que vous faites à ces fins est autorisée à condition que vous reproduisiez la désignation de copyright de MITRE et cette licence dans toute copie de ce type.

© 2022 La Corporation MITRE. Ce travail est reproduit et distribué avec la permission de La Corporation MITRE.

Avertissement

Les informations sur cette application sont uniquement à des fins d'information générale. Votre utilisation de l'application est uniquement à vos propres risques. Cette application peut contenir des liens vers des contenus tiers, que nous ne garantissons pas, n'endossons pas ou n'assumons pas la responsabilité. Cato Networks ne fait aucune déclaration ou garantie de quelque nature que ce soit, expresse ou implicite, quant à l'exhaustivité, l'exactitude, la fiabilité, l'adéquation ou la disponibilité concernant l'application ou les informations, services ou graphiques connexes contenus dans l'application à quelque fin que ce soit. Toute confiance que vous accordez à ces informations est donc strictement à vos propres risques.

En aucun cas Cato Networks ne sera responsable de toute perte ou dommage, y compris sans limitation, perte ou dommage indirect ou consécutif, ou toute perte ou dommage découlant de la perte de données ou de bénéfices résultant de, ou en relation avec, l'utilisation de cette application.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire