使用 MITER ATT&CK 增強威脅搜尋
什么是MITER ATT&CK?
MITRE ATT&CK是對手戰術和技術的知識庫。它已成為許多網絡安全用例(例如威脅搜尋,紅色團隊和威脅情報充實)中的有用工具。RSA、Black Hat和Gartner安全與風險管理峰會等網絡安全會議上經常討論該框架。該框架提供了基于現實世界觀察的情報信息,因此,它對威脅搜尋很有幫助。
Maze勒索軟件
Maze 是2020年第三季度的兩種頂級勒索軟件之一。SandBlast Agent端點保護解決方案包括功能強大的反勒索軟件保護模塊,可以阻止上一章中介紹的Maze Ransomware。MITER ATT&CK已映射了迷宮勒索軟件使用的技術:
圖1 Maze MITER ATT&CK矩陣
使用MITRE ATT&CK
SandBlast Agent的威脅搜尋解決方案包括預定義的查詢,使您可以快速找到活動的攻擊,檢測到的攻擊,惡意文件等。此外,該解決方案還提供了一個MITER ATT&CK儀表板,可幫助根據MITER ATT&CK的情報調查攻擊。在上面的用例中,當我們在MITER ATT&CK的矩陣中查找“Maza”勒索軟件時(圖1),我們看到了勒索軟件所使用的技術列表。我們可以使用SandBlast Agent的hreat Hunting儀表板尋找這些技術。讓我們首先看一下“ Windows Management Instrumentation(T1047)”。根據MITER分析,MAZE使用“ wmic.exe”試圖刪除計算機上的 shadow volumes。當看著SandBlast Agent的MITER ATT&CK儀表板(圖2),我們可以看到SandBlast Agent在兩臺主機上觀察到了115次該技術。
圖2 MITER ATT&CK威脅搜尋儀表板
我們可以在SandBlast Agent的Threat Hunting儀表板上單擊該技術,以查看有關該技術的更多詳細信息,更重要的是,獲得可以幫助我們快速找到所有相關事件并繼續進行調查的查詢(圖3)。
圖3 MITER ATT&K威脅搜尋預定義查詢
當運行預定義的查詢時,我們會得到令人印象深刻的結果。即使列表中的所有進程都是良性的,但大多數進程的父進程卻不是。偉大的狩獵!
圖4用MITER ATT&CK成功搜尋
概要
在本章中,我們展示了如何通過使用SandBlast Agent的Threat Hunting解決方案主動尋找MITER ATT&CK技術來增強Endpoint Security。
