Tornando o MITRE ATT&CK acionável

A equipe do Swimlane Deep Dive tem o prazer de anunciar o lançamento de pyattck 2.0 e uma versão equivalente em PowerShell chamada PSAttck. Essas ferramentas de código aberto fornecem aos centros de operações de segurança (SOCs), equipes de defesa e de segurança ofensiva pontos de dados externos que enriquecem o MITRE ATT&CK, oferecendo comandos, consultas e até mesmo detecções para técnicas específicas. Além disso, esses pontos de dados permitem contextualizar informações sobre agentes ou grupos de ataque específicos, bem como detalhes sobre as diferentes ferramentas utilizadas por esses agentes maliciosos.

Ao terem acesso às técnicas, atores e ferramentas do MITRE ATT&CK, os profissionais de segurança podem pesquisar logs em busca de comandos potencialmente relacionados a uma técnica específica, permitindo-lhes criar e recuperar detecções e consultas com base nessas informações. Esses projetos de código aberto utilizam diversos outros projetos de código aberto para fornecer contexto acionável, em vez de depender de conhecimento específico do domínio e experiência com uma técnica, ator ou ferramenta específica listada no MITRE ATT&CK.

NOTA: Nem todas as técnicas terão propriedades de dados externos, mas expandiremos continuamente este conjunto de dados para abranger todas as técnicas no futuro.

pyattck e PSAttck Oferecer acesso aos seguintes pontos de dados externos:

• Alvos, operações e dados adicionais relacionados aos atores.
• Possíveis comandos, consultas e detecções de projetos de código aberto para técnicas individuais.
• Dados de http://www.thec2matrix.com e conjuntos de dados adicionais, fornecendo contexto para ferramentas específicas usadas pelos atacantes.

Mais informações sobre esses recursos estão disponíveis em nosso site. Site de ataque, que contém documentação para pyattck, PSAttck e dados externos gerados.

Tanto o pyattck quanto o PSAttck estão disponíveis em suas respectivas plataformas de gerenciamento de pacotes e podem ser instalados a partir de hoje!

Instalando e usando o pyattck

O pyattck está disponível em pypi.org e pode ser instalado usando o pip. instalar pyattck Você pode executar o seguinte comando:

pip install pyattck>=2.0.2

Com o lançamento do pyattck 2.0, reestruturamos o projeto para segmentar os diferentes frameworks ATT&CK. Isso significa que agora você pode acessar os frameworks PRE-ATT&CK, Mobile e Enterprise a partir do pyattck. Se você deseja acessar dados apenas do framework ATT&CK Enterprise, especifique a propriedade `enterprise`:

from pyattck import Attck attck = Attck() for technique in attck.enterprise.techniques: print(technique.name) print(technique.id) # Se a técnica tiver uma lista de comandos, você pode acessá-la aqui if hasattr(technique, 'command_list'): print(technique.command_list)

Você pode acessar os outros frameworks MITRE ATT&CK usando:

• PRÉ-ATT&CK – attck.preattack
• ATT&CK móvel – attck.mobile

Além disso, adicionamos um recurso simples. linha de comando utilitário para que você possa acessar esses dados diretamente. Depois que o pyattck estiver instalado, você poderá acessar o utilitário simplesmente chamando pyattck a partir do seu terminal preferido.

Empresa pyattck --ajuda

Para obter mais detalhes sobre o pyattck, incluindo instalação, opções de configuração, uso e documentação geral, visite aqui.

Tanto o pyattck quanto o PSAttck estão disponíveis em suas respectivas plataformas de gerenciamento de pacotes e podem ser instalados a partir de hoje!

Instalando e usando o PSAttck

PSAttck está disponível em https://www.powershellgallery.com/ e pode ser instalado usando o Install-Module. O PSAttck é compatível com o Windows PowerShell v5 e o PowerShell Core. instalar PSAttck Você pode executar o seguinte comando:

Instalar-Módulo -Nome PSAttck

O PSAttck possui as mesmas funcionalidades do pyattck, porém em PowerShell. O PSAttck utiliza classes do PowerShell e permite o acesso tanto aos dados do MITRE ATT&CK quanto a conjuntos de dados externos por meio das funções fornecidas. Após a instalação e carregamento, você terá acesso às seguintes funções públicas:

• Get-Attack
• Get-AttckActor
• Get-AttckMalware
• Obter-MitigaçãoDeAtaques
• Get-AttckTactic
• Técnica de Ataque Get-Attack
• Get-AttackTool

Cada uma dessas funções possui parâmetros opcionais que podem ser usados para filtrar os resultados. Esses filtros também incluem a capacidade de completar automaticamente os valores dos argumentos:

PSAttck é uma versão comparável em termos de funcionalidades ao pyattck, mas escrita em PowerShell. Para mais detalhes sobre o assunto, consulte a documentação. PSAttack e instalação, opções de configuração, uso, e documentação geral, Visite o repositório e o nosso site Attck para obter documentação adicional:

• https://github.com/swimlane/PSAttck
• https://swimlane.github.io/attck/

Quer saber mais sobre pyattck, PSAttck e outras ferramentas de código aberto? Visite o novo Central de Análise de Swimlanes. E não se esqueça de participar do próximo webinar de Swimane, “Automatizando testes de ataque com SOAR e Atomic Red Team,Para uma análise aprofundada sobre como aproveitar o SOAR para otimizar suas capacidades de teste de controle de segurança, consulte [link para a documentação].

Automatizando testes de ataque com SOAR e Atomic Red Team

É a estrutura padrão que as organizações usam para monitorar controles de segurança defensivos, mas identificar as capacidades de detecção, ou a falta delas, pode ser difícil para organizações em todo o mundo. Felizmente, algumas empresas lançaram projetos de código aberto, como o Atomic Red Team da Red Canary, para auxiliar as equipes de segurança no teste desses controles. Assista a este webinar sob demanda para aprender como você pode usar o SOAR para automatizar esses projetos e maximizar suas capacidades de teste de controles de segurança.

Assista agora