MITRE ATT&CKを実践可能に

スイムレーンディープダイブチームは、次のリリースを発表できることを嬉しく思っています。 pyattck 2.0 および同等の PowerShell バージョンである PSAttck. これらのオープンソースツールは、セキュリティオペレーションセンター（SOC）、防御側、そして攻撃側のセキュリティチームに、MITRE ATT&CKの強化に役立つ外部データポイントを提供します。これらのデータポイントは、特定の攻撃手法に対する潜在的なコマンド、クエリ、さらには検知情報を提供することで、MITRE ATT&CKの強化に役立ちます。さらに、これらのデータポイントは、特定の攻撃者やグループに関するコンテキスト情報や、悪意のある攻撃者が使用する様々なツールの詳細情報も提供します。.

セキュリティ専門家は、MITRE ATT&CKのテクニック、アクター、ツールにアクセスすることで、特定のテクニックに関連する可能性のあるコマンドをログから検索し、その情報に基づいて検知やクエリを構築・取得することができます。これらのオープンソースプロジェクトは、MITRE ATT&CKに記載されている特定のテクニック、アクター、ツールに関する特定のドメイン知識や経験に頼るのではなく、他の複数のオープンソースプロジェクトを活用して実用的なコンテキストを提供します。.

注: すべての手法に外部データ プロパティがあるわけではありませんが、将来的にはすべての手法をカバーできるようにこのデータ セットを継続的に拡張する予定です。.

ピヤットク そして PSAttck 次の外部データ ポイントへのアクセスを提供します。

• 攻撃者に関連するターゲット、操作、追加データ。.
• 個々のテクニックに対するオープンソース プロジェクトからの潜在的なコマンド、クエリ、検出。.
• データ元 http://www.thec2matrix.com 追加のデータセットにより、攻撃者が使用する特定のツールのコンテキストが提供されます。.

これらの機能の詳細については、 攻撃サイト, pyattck、PSAttck、および生成された外部データに関するドキュメントが含まれています。.

pyattck と PSAttck はどちらもそれぞれのパッケージ管理プラットフォームで利用可能であり、今日からインストールできます。

pyattckのインストールと使用

pyattckはpypi.orgから入手でき、pipを使ってインストールできます。 pyattckをインストールする 次のコマンドを実行できます。

pip で pyattck>=2.0.2 をインストールします

pyattck 2.0のリリースに伴い、プロジェクトを再構築し、様々なATT&CKフレームワークをセグメント化しました。これにより、pyattckからPRE-ATT&CK、モバイル、エンタープライズの各フレームワークにアクセスできるようになりました。エンタープライズATT&CKフレームワークのデータのみにアクセスしたい場合は、enterpriseプロパティを指定してください。

from pyattck import Attck attck = Attck() for technique in attck.enterprise.techniques: print(technique.name) print(technique.id) # テクニックに command_list がある場合は、ここからアクセスできます。if hasattr(technique, 'command_list'): print(technique.command_list)

他の MITRE ATT&CK フレームワークにアクセスするには、次の方法があります。

• PRE-ATT&CK – attck.pre Attack
• モバイルATT&CK – attck.mobile

さらに、シンプルな コマンドライン pyattckユーティリティをインストールすれば、このデータに直接アクセスできます。pyattckをインストールすると、お気に入りのシェルからpyattckを呼び出すだけでユーティリティにアクセスできます。.

pyattck エンタープライズ --ヘルプ

pyattckに関する詳細情報、インストール方法、設定オプション、使用方法、および一般的なドキュメントについては、こちらをご覧ください。.

pyattck と PSAttck はどちらもそれぞれのパッケージ管理プラットフォームで利用可能であり、今日からインストールできます。

PSAttckのインストールと使用

PSAttckは以下でご利用いただけます https://www.powershellgallery.com/ Install-Moduleを使用してインストールできます。PSAttckはWindows PowerShell v5とPowerShell Coreの両方と互換性があります。 PSAttckをインストールする 次のコマンドを実行できます。

インストールモジュール -Name PSAttck

PSAttckはpyattckと同じ機能をPowerShellで提供します。PSAttckはPowerShellクラスを利用し、付属の関数を使用してMITRE ATT&CKデータと外部データセットの両方にアクセスできます。インストールしてロードすると、以下のパブリック関数にアクセスできるようになります。

• ゲットアタック
• ゲットアタックアクター
• Get-Attackマルウェア
• 攻撃緩和を取得
• ゲットアタックタクティクス
• ゲットアタックテクニック
• Get-AttackTool

これらの関数にはそれぞれ、結果をフィルタリングするためのオプションパラメータがあります。これらのフィルタには、引数値の自動補完機能も含まれています。

PSAttckは、PowerShellで書かれたpyattckと機能面で同等のバージョンです。詳細については、 PSAttckとインストール, 、設定オプション、, 使用法, 、 そして 一般的なドキュメント, 追加のドキュメントについては、リポジトリと Attck サイトをご覧ください。

• https://github.com/swimlane/PSAttck
• https://swimlane.github.io/attck/

pyattck、PSAttck、その他のオープンソースツールについてもっと知りたいですか？新しい スイムレーンアナリストハブ. ぜひSwimaneの今後のウェビナー「“SOARとAtomic Red Teamによる攻撃テストの自動化,SOAR を活用してセキュリティ制御テスト機能を最適化する方法については、「」をご覧ください。.

SOARとAtomic Red Teamによる攻撃テストの自動化

組織がセキュリティ対策の防御策を追跡するために使用する事実上のフレームワークですが、検知能力の有無を特定することは、世界中の組織にとって困難な場合があります。幸いなことに、Red CanaryのAtomic Red Teamのように、セキュリティチームによるセキュリティ対策のテストを支援するオープンソースプロジェクトがいくつかリリースされています。このオンデマンドウェビナーでは、SOARを活用してこれらのプロジェクトを自動化し、セキュリティ対策のテスト能力を最大限に高める方法をご紹介します。.

今すぐ見る