來源:https://www.splunk.com/en_us/blog/security/introducing-attack-detections-collector.html
https://d3fend.mitre.org/tools/attack-extractor/?q=%5B%5D
https://github.com/splunk/security_content
https://github.com/splunk/attack-detections-collector
Splunk SURGe團隊喜歡自動化和簡化平凡的任務(wù)。通過快速響應(yīng)博客,我們提供了影響每個人,而不僅僅是影響客戶的安全事件的上下文和分析五辽。我們堅信害幅,通過共享知識和經(jīng)驗,我們可以幫助大眾更好地了解威脅狀況更胖,并幫助他們改善安全狀況砂吞。
SURGe團隊很懶署恍。我們喜歡用腳本或某種形式的自動化來代替平凡的東西。在每個快速響應(yīng)博客中蜻直,我們都包含一個表盯质,列出了MITRE相關(guān)的ATT&CK技術(shù)以及企業(yè)安全內(nèi)容更新(ESCU)的檢測結(jié)果。起初概而,這是一項手工任務(wù)呼巷,SURGe團隊成員識別MITRE ATT&CK技術(shù),然后在ESCU中查找我們的檢測結(jié)果到腥。不用說朵逝,這是一個耗時的過程蔚袍,盡管我們值得為確保我們能為讀者提供可操作的信息而付出努力乡范。
一旦快速反應(yīng)過程塵埃落定,我們就會忠于我們的本源啤咽,花一兩個小時來回顧那些進展順利的事情晋辆,也許更重要的是,哪些是可以改進的宇整。這已經(jīng)被證明對整個過程有巨大的好處瓶佳,使我們能夠開發(fā)工具和過程,為我們的讀者帶來更多的價值鳞青。早些時候霸饲,我們意識到我們花費了過多的時間來收集ATT&CK技術(shù),并生成ESCU檢測的全面清單臂拓。我說過我們喜歡自動化和簡化平凡的任務(wù)嗎?
一厚脉、請Segue
既然我們知道了原因,讓我們來看看如何做到這一點胶惰。我們開放了一個名為ATT&CK檢測收集器(簡稱ADC)的新項目傻工。ADC簡化了收集ATT&CK技術(shù)和確定ESCU檢測綜合列表的過程,而無需費力。事實上中捆,ADC生成了一個格式很好的鸯匹、可以用于博客的表。在ADC之前泄伪,可憐的人必須手動生成列表殴蓬。我們甚至添加了一個額外的功能,自動生成一個ATT&CK導(dǎo)航層蟋滴。這使得任何人都可以直接在ATT&CK Navigator中可視化ESCU檢測和覆蓋科雳。
你可能會問,ADC是如何完成這個魔法的?當然是用Python腳本脓杉。只需運行帶有ATT&CK技術(shù)列表的adc.py糟秘,或者提供包含這些技術(shù)的URL(比如供應(yīng)商的博客文章)。該腳本將自動提取所需的參數(shù)球散,從MITRE ATT&CK數(shù)據(jù)集中抓取上下文尿赚,然后將其與ESCU檢測匹配。就這么簡單…和自動化!請注意蕉堰,這不是一個應(yīng)用程序或任何產(chǎn)品的添加凌净,只是一些額外的東西,使您的生活更容易屋讶。
我們已經(jīng)使在Jupyter notebook中運行這段代碼變得很容易冰寻,它可以在幾秒鐘內(nèi)創(chuàng)建一個漂亮的表。您可以很容易地鏈接到每個檢測皿渗,以便更好地理解它如何與您的數(shù)據(jù)相關(guān)斩芭。
還記得我們之前提到的額外功能嗎?讓我們看看那會是什么樣子。顏色梯度取決于特定ATT&CK技術(shù)的ESCU檢測次數(shù)乐疆。此外划乖,您可以在評論部分查看相關(guān)ESCU檢測的直接鏈接。還有很多空間可以通過存儲庫中的輸出模板自定義輸出挤土,您已經(jīng)準備好了琴庵。
三、代碼仰美,或者它沒有發(fā)生
完成了迷殿。我們開放了ATT&CK檢測收集器項目,這樣它就可以像幫助我們一樣幫助別人咖杂。請查看這里的代碼庆寺,以及關(guān)于如何安裝和使用該項目的更詳細的文檔。我們將繼續(xù)為該項目做出貢獻翰苫,以解決任何潛在的bug或特性請求止邮。
我們也堅信應(yīng)該吃自己的狗糧这橙。如果你想看看我們在過去使用ADC的一些例子,可以看看我們之前的一些博客文章导披,比如在Splunk和SUPERNOVA Redux中檢測HAFNIUM Exchange服務(wù)器零日活動屈扎,以及大量的Masquerading。你可以期待我們在未來發(fā)布大量的博客文章撩匕。我們聽說網(wǎng)絡(luò)安全問題會持續(xù)下去鹰晨。
如果您覺得ADC很有用,或者對如何改進項目有想法止毕,我們很樂意聽到您的聲音!Splunk的SURGe團隊將在未來分享更多有趣的項目模蜡,所以請保持警惕。
