Использование панели управления MITRE ATT&CK®

Эта статья обсуждает, как использовать панель мониторинга MITRE ATT&CK®, чтобы получить обзор тактик и технологий угроз в вашей сети.

Обзор панели мониторинга MITRE ATT&CK®

Панель мониторинга MITRE ATT&CK® отображает угрозы, идентифицированные службой IPS Cato, тактики и техники, представленные в матрице MITRE ATT&CK®. Это предоставляет мощный каркас для анализа угроз и идентификации различных этапов атак. Тактики MITRE ATT&CK® являются высокоуровневыми целями векторной атаки, тогда как техники - это конкретные методы, используемые для достижения этих целей.

Панель управления содержит несколько виджетов, обеспечивающих видимость и аналитику, включая:

  • Сводка тактик, идентифицированных в вашей сети, с количеством событий по каждой тактике

  • Разбивка техник по каждой тактике

  • Наиболее распространенные техники, идентифицированные в вашей сети

  • Распределение устройств для каждой техники

  • Временное распределение идентифицированных тактик

  • Источники в вашей сети, которые сгенерировали наибольшее количество событий безопасности

Начало работы с панелью мониторинга MITRE ATT&CK®

Виджеты панели управления MITRE ATT&CK® представляют сводку тактик и техник атак, идентифицированных в вашей сети. Вы также можете углубиться, чтобы увидеть подробную информацию и анализ для каждой техники или просмотреть экран событий, предварительно отфильтрованный для тактики или техники.

По умолчанию панель мониторинга показывает данные для событий Мониторинг (включая события Подозрительная активность) и блокировочных событий. Для более целенаправленного анализа вы можете отфильтровать панель мониторинга, чтобы показывать только данные о событиях Мониторинг или событиях Блокировать.

MITRE_Dashboard.png

Чтобы показать панель мониторинга MITRE ATT&CK®:

Работа с виджетами панели мониторинга MITRE ATT&CK®

Этот раздел объясняет, какие виджеты доступны в панели мониторинга MITRE ATT&CK®. Данные, показанные на панели управления, основаны на настроенном диапазоне времени.

Вот эти виджеты:

  • Сводка тактик - верхний ряд панели управления показывает тактики, идентифицированные в вашей сети, с количеством событий для каждой тактики. Тактики отображаются согласно этапам жизненного цикла атаки, следуя расположению слева направо в матрице MITRE ATT&CK®.

  • Разбивка техник - левая панель показывает техники, использованные для каждой тактики, с количеством событий для каждой техники. Кликните на строку техники, чтобы открыть панель Подробности, содержащую следующую информацию и виджеты:

    • Основное описание тактики и техники согласно определениям MITRE ATT&CK®

    • Атаки по времени - временное распределение атак, использующих эту технику. Кликните и перетащите, чтобы увеличить:

      • Время событий

      • Количество событий

    • Главные источники - показывает список лучших источников для техники, с количеством событий MITRE ATT&CK® для каждого источника. Кликните на строку источника, чтобы открыть экран событий, предварительно отфильтрованный для техники и источника.

    • Распределение устройств - нижний ряд показывает значки ОС с количеством событий, сгенерированных для техники на каждой ОС

    MITRE_Details.png

  • Топ техник - Показывает список лучших техник MITRE ATT&CK® с количеством событий для каждой из них. Нажмите на название техники, чтобы открыть экран Событий с предварительной фильтрацией для этой техники.

  • Распределение тактик по времени - Отображает события для каждой тактики на временной шкале.

    MITRE_Tactics_Time_Widget.png

    • Наведите курсор на график, чтобы показать сводку событий для точки на временной шкале

    • Нажмите кнопку переключения тактики, чтобы включить или выключить её график

    • Нажмите на название тактики, чтобы открыть экран Событий с предварительной фильтрацией для данной тактики

    • Кликните и перетащите, чтобы увеличить:

      • Время событий

      • Количество событий

  • Топ Событий Безопасности - Источники, которые сгенерировали наибольшее количество событий безопасности, включая MITRE ATT&CK® и Другое Столбец "Техники MITRE" показывает основную технику, определённую для источника.

    • Наведите курсор на число в столбце "Техники MITRE", чтобы показать дополнительные техники для источника.

    • Нажмите на строку источника, чтобы открыть экран Событий с предварительной фильтрацией для данного источника.

Пример анализа угроз с использованием панели управления MITRE ATT&CK®

После того как служба IPS блокирует атаку, вы можете проанализировать её с помощью панели управления MITRE ATT&CK® и принять меры, чтобы остановить похожие атаки на более ранней стадии Это пример анализа угроз и возможных действий:

  1. В левом окне показано 80 событий Фишинг в тактике Первоначальный доступ.

  2. В панели "Детали" для техники Фишинг, виджет "Топ Хостов" показывает, что один пользователь сгенерировал 25 событий, а второй пользователь - 20.

  3. В нижней части панели "Детали" показано, что 60 событий были сгенерированы устройствами Windows, а 20 - устройствами Android.

  4. Исследуйте двух проблемных пользователей, чтобы понять, почему они уязвимы к этим атакам.

  5. Обучите и тренируйте пользователей, чтобы избежать атак фишинга в будущем.

  6. Проверьте, что все Windows и Android устройства в вашей сети имеют необходимые обновления безопасности.

Информация о лицензии

Лицензия MITRE

Компания MITRE Corporation (MITRE) настоящим предоставляет вам неисключительную, беспошлинную лицензию на использование ATT&CK® в целях Исследование, Разработка и Коммерческий целей Любая копия, которую вы сделаете для таких целей, разрешается при условии, что вы воспроизведете обозначение авторских прав MITRE и эту лицензию в любой такой копии.

© 2022 The MITRE Corporation. Эта работа воспроизводится и распространяется с разрешением корпорации MITRE.

Отказ от ответственности

Информация в этом приложении предназначена исключительно для общих информационных целей. Ваше использование приложения осуществляется исключительно на ваш собственный риск. Это приложение может содержать ссылки на контент третьих лиц, за которые мы не несем никаких гарантий, поддержки или ответственности. Cato Networks не делает никаких заявлений или гарантий любого рода, прямо или косвенно, в отношении полноты, точности, надёжности, пригодности или доступности приложения или информации, услуг или связанных с ними графиков, содержащихся в приложении для любых целей. Любая доверие к такой информации осуществляется исключительно на ваш риск.

При любых обстоятельствах Cato Networks не несет ответственности за любую потерю или ущерб, включая, помимо прочего, косвенную или сопутствующую потерю или ущерб, или любую потерю или ущерб, возникший в результате утраты данных или прибыли, возникающих в связи с использованием этого приложения.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев