MITRE ATT&CK umsetzbar machen

Das Swimlane Deep Dive-Team freut sich, die Veröffentlichung von pyattck 2.0 und eine entsprechende PowerShell-Version namens PSAttck. Diese Open-Source-Tools liefern Security Operations Centern (SOCs), Verteidigern und offensiven Sicherheitsteams externe Datenpunkte, die MITRE ATT&CK um potenzielle Befehle, Abfragen und sogar Erkennungsmethoden für spezifische Techniken erweitern. Darüber hinaus ermöglichen diese Datenpunkte Kontextinformationen zu bestimmten Angreifern oder Gruppen sowie Details zu den von ihnen verwendeten Tools.

Durch den Zugriff auf die Techniken, Akteure und Tools von MITRE ATT&CK können Sicherheitsexperten Protokolle nach potenziellen Befehlen durchsuchen, die mit einer bestimmten Technik in Zusammenhang stehen. So können sie Erkennungen und Abfragen mit diesen Informationen erstellen und abrufen. Diese Open-Source-Projekte nutzen verschiedene andere Open-Source-Projekte, um handlungsrelevante Kontextinformationen bereitzustellen, anstatt sich auf spezifisches Domänenwissen und Erfahrung mit einer bestimmten Technik, einem Akteur oder einem Tool aus MITRE ATT&CK zu stützen.

HINWEIS: Nicht alle Techniken verfügen über externe Dateneigenschaften, aber wir werden diesen Datensatz kontinuierlich erweitern, um in Zukunft alle Techniken abzudecken.

pyattck Und PSAttack bieten Zugriff auf die folgenden externen Datenpunkte:

• Ziele, Operationen und weitere Daten zu den Akteuren.
• Mögliche Befehle, Abfragen und Erkennungen aus Open-Source-Projekten für einzelne Techniken.
• Daten von http://www.thec2matrix.com und zusätzliche Datensätze, die Kontext zu den von Angreifern verwendeten spezifischen Werkzeugen liefern.

Weitere Informationen zu diesen Funktionen finden Sie auf unserer Website. Angriffsseite, das die Dokumentation für pyattck, PSAttck und generierte externe Daten enthält.

Sowohl pyattck als auch PSAttck sind auf ihren jeweiligen Paketverwaltungsplattformen verfügbar und können ab heute installiert werden!

Installation und Verwendung von pyattck

pyattck ist auf pypi.org verfügbar und kann mit pip installiert werden. install pyattck Sie können folgenden Befehl ausführen:

pip install pyattck>=2.0.2

Mit der Veröffentlichung von pyattck 2.0 haben wir das Projekt umstrukturiert und die verschiedenen ATT&CK-Frameworks segmentiert. Sie können nun über pyattck auf die Frameworks PRE-ATT&CK, Mobile und Enterprise zugreifen. Wenn Sie ausschließlich auf Daten des Enterprise-ATT&CK-Frameworks zugreifen möchten, geben Sie die entsprechende Enterprise-Eigenschaft an.

from pyattck import Attck attck = Attck() for technique in attck.enterprise.techniques: print(technique.name) print(technique.id) # if the technique has a command_list you can access it here if hasattr(technique, 'command_list'): print(technique.command_list)

Sie können auf die anderen MITRE ATT&CK Frameworks zugreifen mit:

• PRE-ATT&CK – attck.preattack
• Mobile ATT&CK – attck.mobile

Zusätzlich haben wir eine einfache Funktion hinzugefügt. Befehlszeile Mit diesem Hilfsprogramm können Sie direkt auf diese Daten zugreifen. Sobald pyattck installiert ist, können Sie das Hilfsprogramm einfach über Ihre bevorzugte Shell aufrufen.

pyattck enterprise --help

Weitere Details zu pyattck, Installation, Konfigurationsoptionen, Verwendung und allgemeiner Dokumentation finden Sie hier.

Sowohl pyattck als auch PSAttck sind auf ihren jeweiligen Paketverwaltungsplattformen verfügbar und können ab heute installiert werden!

Installation und Verwendung von PSAttack

PSAttck ist verfügbar auf https://www.powershellgallery.com/ und kann mit Install-Module installiert werden. PSAttck ist sowohl mit Windows PowerShell v5 als auch mit PowerShell Core kompatibel. PSAttck installieren Sie können folgenden Befehl ausführen:

Install-Module -Name PSAttck

PSAttck bietet die gleichen Funktionen wie pyattck, jedoch in PowerShell. PSAttck nutzt PowerShell-Klassen und ermöglicht den Zugriff auf die MITRE ATT&CK-Daten sowie externe Datensätze mithilfe der bereitgestellten Funktionen. Nach der Installation und dem Laden stehen Ihnen folgende öffentliche Funktionen zur Verfügung:

• Angriff
• Get-AttackActor
• Get-AttackMalware
• Angriffsabwehr
• Angriffstaktik
• Get-Attack-Technik
• Get-AttackTool

Jede dieser Funktionen verfügt über optionale Parameter, mit denen die Ergebnisse gefiltert werden können. Diese Filter beinhalten auch die Möglichkeit, die Argumentwerte automatisch zu vervollständigen:

PSAttck ist eine funktionsgleiche Version von pyattck, jedoch in PowerShell geschrieben. Weitere Details dazu finden Sie unter PSAttack und Installation, Konfigurationsoptionen, Verwendung, Und allgemeine Dokumentation, Weitere Dokumentation finden Sie im Repository und auf unserer Attck-Website:

• https://github.com/swimlane/PSAttck
• https://swimlane.github.io/attck/

Sie möchten mehr über pyattck, PSAttck und andere Open-Source-Tools erfahren? Besuchen Sie die neue Website. Swimlane-Analysten-Hub. Und verpassen Sie nicht Swimanes bevorstehendes Webinar “Automatisierung von Angriffstests mit SOAR und Atomic Red Team,”, um detailliert zu erfahren, wie Sie SOAR optimal für Ihre Sicherheitskontrolltests einsetzen können.

Automatisierung von Angriffstests mit SOAR und Atomic Red Team

Es handelt sich um das Standardframework, das Unternehmen zur Nachverfolgung defensiver Sicherheitsmaßnahmen nutzen. Die Identifizierung von Erkennungsfähigkeiten – oder deren Fehlen – kann jedoch für Organisationen weltweit schwierig sein. Glücklicherweise haben einige Unternehmen Open-Source-Projekte wie Red Canarys Atomic Red Team veröffentlicht, um Sicherheitsteams beim Testen dieser Sicherheitsmaßnahmen zu unterstützen. Sehen Sie sich dieses On-Demand-Webinar an, um zu erfahren, wie Sie SOAR nutzen können, um diese Projekte zu automatisieren und Ihre Testmöglichkeiten für Sicherheitsmaßnahmen zu optimieren.

Jetzt ansehen