从上图看以看出,根据对ATT&CK所有技术的数据源进行总结,所需最高的三种 数据源分别是:文件监视、进程监视、进程命令。如果企业可以集成上述三个数 据源,就可以最大程度地增加可以创建的检测方案。此外,ATT&CK命名的几乎 每个高级数据源都包含子数据源。重要的是要了解,可以访问哪些数据源以及这 些子数据源提供哪些内容。仅找到其中一项子数据源是远远不够的。需要了解自 己还缺少哪些内容,才能弥合自身在检测功能方面的差距。 5.选择合适工具进行数据整合 在了解数据源的物理来源以及事件与这些物理数据源的关系之后,需要有一个信 息存储库及相应的查询方式。可以使用图形数据库,并根据数据字典和公共信息 模型中的信息实现类似于以下图表的内容: 数据整合工作量非常大,这个过程可以选择一些开源工具辅助进行,例如Osquery 等。OSquery可以收集环境中各主机的信息,并将数据聚合到表格中。可以使用 类似SQL的查询来访问表格中的数据并编写检测方案,因此对于接触过关系型数 据库的人来说难度并不大。 此外,OSquery可以创建查询集合,映射到ATT&CK中的目标TTP,进行威胁捕 获。安全人员可以即时创建和执行在线实时查询。有些查询可以识别网络攻击者, 这些查询可以集成到安全信息和事件管理(SIEM)系统中来。 结语 ATT&CK的系列文章到这里就结束了,回顾一下第一期文章,我们介绍了ATT&CK 的概念,作用,优点,明确了ATT&CK框架的组成成分。而第二期文章,我们详 细讲解了ATT&CK的12项战术,技术构成。而本篇文章,我们落到实地,为大 家介绍了ATT&CK的应用场景以及具体的实施方式。相信看完了的朋友能积极跟 身边的人分享ATT&CK,共享安全知识,才能让ATT&CK发挥最大价值。 |
|