- MITRE ATT&CK™ : Getting Started">MITRE ATT&CK™ : Getting Started
- 常见用例
- 检测和分析
- 威胁情报
- 对手模拟和红队
- ATT&CK 入门:对手仿真和红队博客文章">ATT&CK 入门:对手仿真和红队博客文章
- 自己动手进行 ATT&CK 评估以改善您的安全态势演示文稿">自己动手进行 ATT&CK 评估以改善您的安全态势演示文稿
- APT ATT&CK - 与 ATT&CK 的基于威胁的紫色组合 继续演示">APT ATT&CK - 与 ATT&CK 的基于威胁的紫色组合 继续演示
- To Blue with ATT&CK-Flavored Love 演示文稿">To Blue with ATT&CK-Flavored Love 演示文稿
- 使用基于 ATT&CK 的分析发现网络威胁">使用基于 ATT&CK 的分析发现网络威胁
- 对手仿真计划">对手仿真计划
- CALDERA">CALDERA
- 基于威胁的 Purple Teaming with ATT&CK 演示文稿">基于威胁的 Purple Teaming with ATT&CK 演示文稿
- 带有威胁情报的 ATT&CKing 演示文稿">带有威胁情报的 ATT&CKing 演示文稿
- ATT&CK 评估对手仿真摘要">ATT&CK 评估对手仿真摘要
- 评估与工程
- 与 ATT&CK 合作
- 社区
- 常见用例
- MITRE ATT&CK™ : DESIGN AND PHILOSOPHY">MITRE ATT&CK™ : DESIGN AND PHILOSOPHY
MITRE ATT&CK™ : Getting Started
- ATT & CK 101 博客文章快速了解关于 ATT&CK 的关键点。
- ATT&CK 博客系列入门概述如何将 ATT&CK 用于四个用例的不同复杂级别:威胁情报、检测和分析、对手仿真和红队以及评估和工程。
- ATT&CK 电子书入门将我们关于威胁情报、检测和分析、对手仿真和红队以及评估和工程的四篇入门博客文章的内容整合到一个方便的软件包中。
- 哲学论文深入了解 MITRE 为什么创建 ATT&CK,我们如何更新和维护它,以及社区通常使用它的目的。
- Sp4rkcon 演示:将 MITRE ATT&CK™ 付诸行动,用你所拥有的,你在哪里介绍 ATT&CK 的概述以及如何将其用于四个用例的想法。也提供幻灯片。
- 使用基于 ATT&CK 的分析发现网络威胁介绍使用 ATT&CK 构建、测试和改进基于行为的分析检测功能的方法。
常见用例
检测和分析
ATT&CK 可以帮助网络防御者开发分析来检测对手使用的技术。ATT&CK 入门:检测和分析博客文章
这篇博客文章介绍了如何开始使用 ATT&CK 在三个不同的复杂级别进行检测和分析。Cyber Analytics Repository (CAR)
ATT&CK 是攻击者行为的框架,CAR 是基于 ATT&CK 的分析知识库。这篇关于 CAR 的博客文章解释了我们改进它的工作。使用基于 ATT&CK 的分析发现网络威胁
介绍使用 ATT&CK 构建、测试和改进基于行为的分析检测功能的方法。CASCADE
这个 MITRE 研究项目旨在自动化“蓝队”工作,包括运行分析。ATT&CKing the Status Quo 演示文稿
本演示文稿的后半部分介绍了使用 ATT&CK 创建分析。也提供幻灯片。
ATT&CK 社区中的许多人在分析和检测方面做得非常出色。我们鼓励您查看 ATT&CKcon 2018 演示文稿以获取想法。您也可以在 Twitter 上关注我们@MITREattack,因为我们有时会转发有关可以帮助 ATT&CK 用户的社区项目的信息。威胁情报
ATT&CK 为分析师提供了一种通用语言来构建、比较和分析威胁情报。ATT&CK 入门:威胁情报博客文章
这篇博客文章介绍了如何开始使用 ATT&CK 来获取三个不同复杂级别的威胁情报。ATT&CKing Your Adversaries 演示文稿
该演示文稿介绍了如何使用 ATT&CK 获取网络威胁情报并将其实施为可以驱动相关检测的行为。关于威胁情报的博客文章
这些博客文章解释了如何使用 ATT&CK 进行威胁情报的基础知识。ATT&CKing the Status Quo 演示文稿
本演示文稿的中间部分介绍了使用 ATT&CK 进行威胁情报。也提供幻灯片。带有威胁情报的 ATT&CKing 演示文稿
该演示文稿提供了有关如何将威胁情报用于基于 ATT&CK 的对手仿真的观点。也提供幻灯片。用于威胁情报的 ATT&CK Navigator 用例
此演示提供了 ATT&CK Navigator 的概述以及如何比较组行为的威胁情报用例。此处提供了有关比较 Navigator 层的相应书面教程。对手模拟和红队
ATT&CK 提供了一种通用语言和框架,红队可以使用它来模拟特定威胁并规划他们的行动。ATT&CK 入门:对手仿真和红队博客文章
这篇博客文章描述了如何开始使用 ATT&CK 在三个不同的复杂级别进行对手仿真和红队。自己动手进行 ATT&CK 评估以改善您的安全态势演示文稿
该演示文稿解释了防御者如何通过使用对手仿真通过执行他们自己的 ATT&CK 评估来改善他们的安全态势。APT ATT&CK - 与 ATT&CK 的基于威胁的紫色组合 继续演示
本演示文稿深入探讨了使用 ATT&CK 进行紫色组合,包括从 ATT&CK 评估中吸取的经验教训。To Blue with ATT&CK-Flavored Love 演示文稿
该演示文稿提供了红队队员的视角,展示了 ATT&CK 如何成为帮助红队和蓝队共同努力改善防守的宝贵工具。也提供幻灯片。使用基于 ATT&CK 的分析发现网络威胁
介绍使用 ATT&CK 构建、测试和改进基于行为的分析检测功能的方法。对手仿真计划
为了展示 ATT&CK 在进攻性操作员和防御者中的实际用途,MITRE 创建了对手仿真计划。我们之前发布了 APT3 计划(以及随附的现场手册),并预计我们将在未来发布更多计划。CALDERA
CALDERA 是一个自动化的对手仿真系统,它在 Windows Enterprise 网络中执行妥协后的对抗行为。它使用基于 ATT&CK 的预配置对手模型生成计划。BSides Charm 的这个演示文稿提供了 CALDERA 的概述。基于威胁的 Purple Teaming with ATT&CK 演示文稿
本演示文稿讨论了紫色团队如何使用 ATT&CK 作为对手仿真的通用语言。也提供幻灯片。带有威胁情报的 ATT&CKing 演示文稿
该演示文稿提供了有关如何将威胁情报用于基于 ATT&CK 的对手仿真的观点还提供了幻灯片。ATT&CK 评估对手仿真摘要
来自 ATT&CK 评估网站的摘要介绍了 ATT&CK 评估如何使用对手仿真方法。评估与工程
ATT&CK 可用于评估您组织的能力并推动工程决策,例如您应该实施哪些工具或日志记录。ATT&CK 入门:评估和工程博客文章
这篇博客文章介绍了如何开始使用 ATT&CK 进行三个不同级别的评估和工程。应用基于 ATT&CK 的 SOC 评估的经验教训 演示
本主题演讲讨论了衡量 SOC 与 ATT&CK 相关的检测能力的过程,包括 MITRE 的实践经验和经验教训。ATT&CK 评估
MITRE 使用基于 ATT&CK 的开放方法对网络安全产品进行评估,可以帮助最终用户了解商业安全产品如何检测已知的对手行为。使用基于 ATT&CK 的分析发现网络威胁
介绍使用 ATT&CK 构建、测试和改进基于行为的分析检测功能的方法。与 ATT&CK 合作
以下是有关 ATT&CK 基础架构的一些资源,可帮助您使用内容来完成这些用例。使用 ATT&CK 的接口
本页描述了如何使用 STIX/TAXII 以编程方式访问 ATT&CK 内容。ATT&CK Navigator
ATT&CK Navigator 旨在提供 ATT&CK 矩阵的基本导航和注释。
您可以使用 Navigator 来可视化防守覆盖范围、您的红/蓝团队计划,或者您可以使用 ATT&CK 做的任何其他事情。如果您想立即开始,可以在此处使用托管实例。社区
我们正在创建一个对 ATT&CK 和威胁知情防御充满热情的 ATT&CK 用户社区。您可以通过以下方式找到其他社区成员,了解他们在 ATT&CK 中所做的事情并参与其中。博客
查看我们的 Medium 博客以获取 ATT&CK 更新和信息。Twitter:在@MITREattack 关注我们
了解我们的最新更新以及社区成员对 ATT&CK 所做的事情。ATT&CKcon 2018 演讲
2018 年 10 月,我们在 MITRE 的麦克莱恩校区举办了首届 ATT&CKcon。查看演示文稿以了解社区如何使用 ATT&CK 以及有关该活动的博客文章。为 ATT&CK 做贡献
我们依靠社区来帮助我们改进 ATT&CK。如果您想做出贡献,以下是联系方式和我们正在寻找的内容。MITRE ATT&CK™ : DESIGN AND PHILOSOPHY
PDF(534.35 KB)
本文讨论了ATT&CK创建的动机、其中描述的组件、它的设计哲学、项目如何进行以及如何使用它。它是关于ATT&CK的权威信息来源,并帮助指导如何维护ATT&CK以及如何为新的技术领域和平台创建基于ATT&CK的知识库。
ATT&CK广泛应用于多个学科,包括入侵检测、威胁捕获、安全工程、威胁情报、红色团队和风险管理。当越来越多的组织使用ATT&CK时,MITRE努力使ATT&CK的创建和维护决策过程透明化是很重要的。我们希望ATT&CK的用户对它所提供的信息和资源有信心,并更好地了解他们如何开始使用它,以及他们如何以及在哪里帮助ATT&CK成长。
进入ATT&CK的信息类型,以及用于创建和维护它的过程,对于为其他技术领域或其他领域中敌对行为的分类法派生类似模型的其他工作也可能是有用的。ATT&CK基于经验驱动的威胁信息及其用于对手模拟和更好地度量防御覆盖率的驱动用例,是如何被整个安全社区感知和使用的基础。我们希望这份文件能够成为一份有用的资源,帮助我们遵循为新领域创建ATT&CK的过程。