ATT&CK - 入门

2023-11-17

20200922 -

0. 引言

这篇文章记录ATT&CK的一些材料阅读，不过题目没有非常明确。因为这部分仅仅是记录了一篇文章，不过这篇文章是一系列文章的第一小节，大题目就是Getting Started的部分，所以，这篇文章就命名为入门。

1. ATT & CK在威胁情报的应用

本部分内容参考学习了文章《Getting Started with ATT&CK: Threat Intelligence[1]》。现在众多的安全团队在使用威胁情报（CTI，Cyber Threat Intelligence》来辅助安全防御，但威胁情报绝不仅仅是找几个IOC作为黑名单就完事的问题。情报应该是一套完整的信息链，例如一条APT组织行动的情报，就应该包括其所使用的战术，技术，攻击的目标，甚至于最终的决策建议等。文章[1]简单介绍了如何利用ATT&CK针对不同的团队在威胁情报上进行应用，其按照团队的规模分为了三个层次。

1.1 Level1

在较小的威胁情报团队上，可以针对自己公司的性质，例如金融，政府等类别，搜索相关的APT组织，然后定位他们在APT攻击行动中所使用的战术及技术，通过定位他所使用的技术来进行定向的防御。本质上，威胁情报辅助安全人员能够了解对抗方所使用的技术，来辅助提高安全决策的能力。

1.2 Level2

在有一定基础的威胁情报团队上，可以自行按照（公开的）应急相应报告或者其他安全报告将其映射至ATT&CK矩阵，而不是使用其他人已经形成的报告。通过这种方式，能够让团队更清晰自己公司的要求和定位。

1.3 Level3

在比较成熟或者高级的团队上，可以将自己公司的信息映射到ATT&CK矩阵上，让自己的防护团队更明确防护的目标。

1.4 小节

其实我觉得，Level2和Level3是很像的，都是利用相应的信息映射到ATT&CK矩阵上，只不过是成熟程度的问题。本篇文章主要就是介绍了ATT&CK在威胁情报上的应用，但实际上，我还是没有非常明确的体会到ATT&CK的重要性。就是因为这部分内容本质上没有什么非得说利用ATT&CK的过程，从中体会更深的，应该是ATT&CK提供了一套体系化的框架来使用，使具体的步骤，具体的门类更清晰的一个过程，所以这部分可能还得更具体得来学习。

2. 利用ATT&CK做检测与分析

本小节将关注文章《Getting Started with ATT&CK: Detection and Analytics[2]》，本篇文章将重点分析在自己系统中采集的数据来和ATT&CK中的内容进行比对分析。与前文一致，本部分也是按照三个等级来进行区分。

2.1 Level1

进行检测的第一个步骤，应该考虑的是，你的团队具备怎么样的数据存储和搜索能力，这部分涉及到数据源的问题。在以往的分析过程中，因为我是做流量出身，所以大部分时候我考虑的都是流量，其实还有很多内容，特别是主机上的内容，例如进程信息，注册表信息等。下面列举几个相关的工具和数据源：

进程和进程命令行参数等信息，在windows主机上，这部分信息可以使用sysmon，windows event logs和很多EDR平台采集
文件和注册表监控，前面的采集方法一致
认证日志，主要由windows event logs采集
数据包采集，其实我的想法是，如果在出入口部分部署了全流量采集的相关工具，那么完全可以仅采集进程等信息然后进行对准即可。

有了能力进行日志或者相关的信息采集之后，那么后续的研究就必须将数据整合起来，那么本质上这就是一个SIEM平台了，完全可以使用ELK来实现。
注：在前期实验过程中，可以使用一些开源的数据弥补数据的空白，具体见文章。
在进行分析的过程中，就比如使用一些工具来进行搜索，这个搜索能力就是ELK提供的，对于某些日志，可以使用一些工具，文章列举了一个工具叫做sigma。

2.2 Level2

在能够搜索数据之后，在这个步骤应该是能够按照相应的规则，或者自己的需求来进行自己编写规则进行分析。

2.3 Level3

最后一步，应该是能够形成一个闭环，让自己团队的红队进行相应的攻击，然后根据这部分内容实现检测，检测之后，告诉红队让他们进行升级再次逃避，如此往复循环下去。

2.4 小节

其实这部分内容，我没有看的很清楚。比较重要的是利用日志采集的功能实现数据汇总。这个步骤有两个点很重要，1）日志的采集；2）日志的搜索。也就是说，需要一个平台能够支持数据的灵活搜索，只有这样才能满足后续的分析过程。在日志的采集部分，因为平时的时候一直以来都是关注的流量，对windows的内容没怎么关注过，这部分我觉得注册表很重要。

最后多说几句，气质本质上，我觉来越觉得，ATT&CK仅仅是一个形式化的框架，在这部分其实我都没有太大感受到ATT&CK在其中的作用。感觉它就是一个参考，让我能对自己整体的能力有所了解。这部分还是需要更深入来体会。

参考

[1]Getting Started with ATT&CK: Threat Intelligence
[2]Getting Started with ATT&CK: Detection and Analytics

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

ATT&CK - 入门的相关文章

[NOI 2015复习][BZOJ 1509][NOI 2003]逃学的小孩(树的直径)

题目链接 http www lydsy com JudgeOnline problem php id 1509 题目大意要从一棵树中找出三个点 X Y Z X Y Z 使得 min dis A C dis B C dis A B min
STM32超声波模块测距串口输出/通用定时器中断并输出PWM控制舵机/系统定时器延时

参考 stm32 超声波模块原理实现测距舵机使用作者点灯小哥发布时间 2021 03 10 19 37 16 网址 https blog csdn net weixin 46016743 article details 1146
利用Albumentations工具包进行图像的数据增强（以yolo数据标注格式为例）

最近在看数据增强方法时看到了这个有趣的工具包研究了下并以yolo数据标注格式为例写了一个示例脚本该工具最大的好处是会根据你使用的数据增强方法自动修改标注框信息 import albumentations as A import cv2
MySQL 数据类型

整数类型分类类型字节范围整数类型 TINYINT 1 128 127 SMALLINT 2 32768 32767 MEDIUMINT 3 8388608 8388607 INT INTEGER 4 2 31 2 31 1 BIG
JAVA数据库连接总结

1 Oracle8 8i 9i数据库 thin模式 Class forName oracle jdbc driver OracleDriver newInstance String url jdbc oracle thin localhos
libuv异步文件读写

libuv 异步文件读写一 libuv编译环境 1 可查看另一篇 libuv 介绍与编译 http mp blog csdn net postedit 79193274 程序代码 include
2022-04-30 Unity核心2——Sprite

文章目录一 Single 图片编辑二 Multiple 图片编辑三 Polygon 多边形编辑四 Sprite Renderer 精灵渲染器五 Sprite Creator 精灵创造者六 Sprite Mask 精灵遮罩七 S
Python语言基础—注释的作用及分类

系列文章目录 Python语言基础注释的作用及分类 Python语言基础常用运算符总结 Python语言基础定义变量与数据类型 Python语言基础 if判断和循环总结 Python语言基础理解面向对象 Python语言基础集合的
学习之-Spring Cache缓存框架应用本地缓存

此文章用于个人学习记录原文地址 https zhuanlan zhihu com p 452315531 如果想了解springCache与redis的交互请看其他文章缓存是web项目不可或缺的一部分通过缓存能够降低服务器数据库压力
AIX logging

复杂度2 5 机密度3 5 最后更新2021 05 15 AIX有很多log 不同的东西程序会log到不同的地方这是有历史的操作系统无法避免的问题太杂太乱有了新机制又要学旧log又没法简单放弃或者改变经由alog管理查看
假设在一个32位little endian的机器上运行下面的程序，结果是多少？

假设在一个32位little endian的机器上运行下面的程序结果是多少假设在一个 32 位 little endian 的机器上运行下面的程序结果是多少 include
【每日进步一点点】C语言刷题技巧及训练1

恭喜你发现宝藏这里是刹那芳间很高兴为您服务 C语言编程题相信很多同学学校的C语言考试是上机做编程题叭不要慌这里将带你进行一个初步的入门进行一些简单的编程题练习 Anyway 请一定要去多多实践上机操作还有望具备空杯心态这

随机推荐

React（五）- React组件的组合使用

React 五 React组件的组合使用一 Todo案例 1 1 组件的具体实现 1 1 1 Header 1 1 2 List 1 1 3 Item 1 1 4 Footer 1 2 父类App组件的实现二 Todo案例的总结 Rea
opencv形态学操作

连通性在图像中最的单位是像素每个像素周围有8个邻接像素常的邻接关系有3 种 4邻接 8邻接和D邻接分别如下图所示 4邻接像素p x y 的4邻域是 x 1 y x 1 y x y 1 x y 1 N p 表示像素p的4邻接
GRE隧道实验

AR1 interface GigabitEthernet0 0 0 进入接口 ip address 10 1 12 1 255 255 255 0 ospf enable 200 area 0 0 0 200 AR2 interface
vue中使用百度webgl地图以及踩坑记录

前言在公司项目中之前使用的是vue baidu map库功能上使用暂无太大问题最近需要在项目基础上添加一个大屏数据页面并涉及到换肤功能就是在换肤这里遇到了一些坑使用个性化主题之后出现地图加载卡顿白色方块图层缩放最大等级
Windows使用模拟器启动AOSP源码编译的镜像

正常情况下源码编译后可直接执行emulator 启动编译好的镜像但是如果使用的是server版的ubuntu系统没有图形界面或者WSL编译的源码以及我当前情况 AMD CPU Hyper V ubuntu intel CPU好像没
多线程之创建工作者线程和用户界面线程区别

转帖部分原创 1 工作者线程倾向于琐碎的处理与它不同的是用户界面线程具有自己的界面而且实际上类似于运行其他应用程序创建线程而不是其他应用程序的好处是线程可与应用程序共享程序空间这样可以简化线程与应用程序共享数据的功能 2 典型情况
房产小程序需要加入哪些功能才能让用户喜欢？

对于我们中国人来说买房子可是一件大事在以前大家购买房子需要到楼盘所在地了解而现在互联网高速发展人们足不出户通过微信小程序就可以了解各个地区的楼盘信息这样确实节省下来不少时间不过不是所有房产小程序都会让用户们喜欢小程序需要加入合
Linux配置了环境变量JAVA仍然是openjdk

问题描述不使用openjdk 使用jdk 下载完后也配置了环境变量反复检查 etc profile bashrc 均没有错误但是java version仍旧是openjdk 解决方案需要删除 usr bin下的java文件
趣图：太真实，程序员调 Bug 的写照

点击上方公众号快速关注不错过趣图程序员调 Bug 的样子非常真实动图原作者是我的邻居全是猫网友评论中国有圣人哈哈哈太形象了最后干脆撂挑子不干了破罐破摔了她叫小明所以发明回溯这个超能力的这个公司应该每年花一天专门纪念
GPT时代，是否还愿意将你的代码开源呢？

日常只是偶发的想法仅供讨论 GPT是生成式AI 生成式的前提也是基于大量的学习资源如果你的代码开源或者进入到大模型的学习库 GPT的能力可以迅速学习并掌握你的代码 GPT可以将你的代码提供给其他人这个过程基本没有任何成本也无需遵循
安卓实现登录与注册界面

使用Intent与Bundle传递数据登录界面login xml 1 使用Relativelayout相对布局
canvas绘制随机颜色的柱形图
mysql修改表的编码为utf-8，解决插入中文乱码

在创建mysql的表中如果没有指定编码默认为Iatin1 这个时候插入中文就会报错需要修改表的编码为utf 8 修改表的编码的sql语句为在Alter table emp convert to character set utf8 这样就
Error: Rpmdb checksum is invalid: pkg checksums

从字面意思判断是rpm库校验失败或者损坏 yum clean all yum makecache 搞定经查询 RUN rpm rebuilddb命令可以一条条修复rpm 还是我的方法好
数据软件分析（一）——静态分析

基于恶意科学的数据软件分析将学习本书的过程作记录分享数据科学是一个不断增长的算法工具集合可以让我们通过使用统计学数学和巧妙的统计数据可视化技术来理解和预测数据一般来说数据科学有三个组成部分机器学习数据挖掘和数据可视化第一章
从零开始实现基于go-zero框架的微服务电商项目（二）——User服务的基础搭建

从零开始实现基于go zero框架的微服务电商项目二 User服务的基础搭建项目地址 liuxianloveqiqi XianShop 使用go zero搭建的电商项目 github com API 首先在api包下新建user api
SQL中字符串截取、连接、替换等函数的用法

一 SQL中SUBSTRING函数的用法 1 功能返回字符二进制文本或图像表达式的一部分 2 语法 SUBSTRING expression start length 3 QL 中的 substring 函数是用来抓出一个栏位数据中的
OpenVSwitch简介

本文主要介绍Open VSwitch 虚拟交换机的概述内容阅读本文可以对OVS Open VSwitch 有一个大致的了解那么本文主要回答了这样几个问题 1 虚拟交换机是什么干什么 2 虚拟网络和OVS 3 OVS的组件有哪些 4 使
华为OD德科面试+机试记录

一机试 6 25 三道编程题难度偏中由于时间久远只记得其中两道题目 1 找车位动态规划 2 题目不记得了后面如果找到会补充双指针 3 高效的任务规划动态规划第一题和第二题是做出来了第三题做出来一点点当时时间不够没想出
ATT&CK - 入门

20200922 0 引言这篇文章记录ATT CK的一些材料阅读不过题目没有非常明确因为这部分仅仅是记录了一篇文章不过这篇文章是一系列文章的第一小节大题目就是Getting Started的部分所以这篇文章就命名为入门 1 A