从上图看以看出,根据对ATT&CK所有技术的数据源进行总结,所需最高的三种
数据源分别是:文件监视、进程监视、进程命令。如果企业可以集成上述三个数
据源,就可以最大程度地增加可以创建的检测方案。此外,ATT&CK命名的几乎
每个高级数据源都包含子数据源。重要的是要了解,可以访问哪些数据源以及这
些子数据源提供哪些内容。仅找到其中一项子数据源是远远不够的。需要了解自
己还缺少哪些内容,才能弥合自身在检测功能方面的差距。
5.选择合适工具进行数据整合
在了解数据源的物理来源以及事件与这些物理数据源的关系之后,需要有一个信
息存储库及相应的查询方式。可以使用图形数据库,并根据数据字典和公共信息
模型中的信息实现类似于以下图表的内容:
数据整合工作量非常大,这个过程可以选择一些开源工具辅助进行,例如Osquery
等。OSquery可以收集环境中各主机的信息,并将数据聚合到表格中。可以使用
类似SQL的查询来访问表格中的数据并编写检测方案,因此对于接触过关系型数
据库的人来说难度并不大。
此外,OSquery可以创建查询集合,映射到ATT&CK中的目标TTP,进行威胁捕
获。安全人员可以即时创建和执行在线实时查询。有些查询可以识别网络攻击者,
这些查询可以集成到安全信息和事件管理(SIEM)系统中来。
结语
ATT&CK的系列文章到这里就结束了,回顾一下第一期文章,我们介绍了ATT&CK
的概念,作用,优点,明确了ATT&CK框架的组成成分。而第二期文章,我们详
细讲解了ATT&CK的12项战术,技术构成。而本篇文章,我们落到实地,为大
家介绍了ATT&CK的应用场景以及具体的实施方式。相信看完了的朋友能积极跟
身边的人分享ATT&CK,共享安全知识,才能让ATT&CK发挥最大价值。 |
|
