PurpleBear
@purple_medved
ATT&CK Workbench
Во время подготовки тест-кейсов для проведения
Эта база знаний обычно ведется нана салфетках из баров. Такой подход не очень удобен, так как при планировании сценариев хочется иметь под рукой всю необходимую информацию в привычном формате
Поэтому, мы в своей практике используем ATT&CK Workbench - инструмент с открытым исходным кодом от
✅ Collection Indexes - возможность импорта всех данных из публичной версии
✅ REST API для автоматизации и интеграции с другими инструментами
✅ ATT&CK Navigator - интеграция с этим инструментом позволяет делится информацией о новых техниках с аналитиками
Более подробно об
#attack-workbench #purple_teaming
Во время подготовки тест-кейсов для проведения
Purple Teaming сценариев обычно за основу берется актуальная версия матрицы MITRE ATT&CK. И на ее базе формируются тест-кейсы для актуальных техник в зависимости от выбранного сценария и портрета потенциальных злоумышленников. Но проблема в том, что оригинальная матрица обновляется всего дважды в год и содержит далеко не все актуальные TTPs, которые используют киберзлодеи. К тому же каждая Red/Purple команда проводит собственные исследования, с целью поиска новых техник и кастомизации существующих процедур и инструментов, которые потом используются на проектах и публикуются в формате статей, докладов, заметок в блогах. Эта база знаний обычно ведется на
git, в вики-системах, тикет-трекерах, общих чатиках, личных заметках и MITRE ATT&CKПоэтому, мы в своей практике используем ATT&CK Workbench - инструмент с открытым исходным кодом от
MITRE. Он представляет собой self-hosted базу знаний, которую мы регулярно самостоятельно обновляем и дополняем новыми техниками и процедурами на основе CTI аналитики и собственных исследований. По сути это приложение на Node.js, которое позволяет в веб-интерфейсе взаимодействовать с кастомной версией матрицы MITRE ATT&CK, функциональность которого включает:✅ Collection Indexes - возможность импорта всех данных из публичной версии
MITRE ATT&CK✅ REST API для автоматизации и интеграции с другими инструментами
✅ ATT&CK Navigator - интеграция с этим инструментом позволяет делится информацией о новых техниках с аналитиками
SOC в привычном веб-интерфейсе в рамках оценки покрытия, планирования сценариев и разработки/оптимизации правил обнаружения и реагированияБолее подробно об
ATT&CK Workbench и других используемых нами инструментах я рассказывал в докладе Purple Teaming - Взаимодействие, а не противодействие на конференции KazHackStan2023💜#attack-workbench #purple_teaming
GitHub
GitHub - center-for-threat-informed-defense/attack-workbench-frontend: An application allowing users to explore, create, annotate, and share extensions of the MITRE ATT&CK® knowledge base. This repository contains an Angular-based web application providing the user interface for the ATT&CK Workbench application.
An application allowing users to explore, create, annotate, and share extensions of the MITRE ATT&CK® knowledge base. This repository contains an Angular-based web application providing the...
🔥 6
👍 1
31 1.9K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram