Insider Threat Tactics, Techniques, and Procedures (TTP) Knowledge Base

为了促进我们对内部威胁的集体理解,威胁情报防御中心开发了内部威胁 TTP 知识库,这是内部人员在 IT 环境中使用的 TTP 集合。该知识库建立在从 ATT&CK 知识库中收集的内部威胁事件和经验教训的数据之上。以这个已知的内部威胁 TTP 词典为基础,防御者将检测、缓解和模拟 IT 系统上的内部行为并阻止它们。

资源 描述
设计原则和方法论.pdf 描述内部威胁 TTP 知识库的设计原则和方法的文档
内部威胁-ttp-kb.csv 包含内部威胁 TTP 知识库的电子表格
内部威胁-ttp-kb.json 代表内部威胁 TTP 知识库的 ATT&CK 导航器层
内部威胁-heatmap.json 将内部威胁 TTP 知识库表示为热图的 ATT&CK 导航器层

参与进来

这个初始知识库是对来自不同组织和行业的 IT 系统上检测到的、记录在案的内部威胁行动的基于证据的检查。您可以通过多种方式参与这项工作并帮助推进基于威胁的防御:

  • 查看知识库,使用它,然后告诉我们您的想法。我们需要您的帮助来验证或反驳这一初步分析。我们欢迎您对方法和资源的评论和反馈。
  • 应用该方法并共享您的数据。我们寻求了解您的内部威胁用例和数据源,使我们能够成熟此知识库并提高任何内部人员的难度级别。通过贡献您的数据帮助我们扩展知识库。通过ctid@mitre-engenuity.org联系我们,了解更多关于为知识库做出贡献的信息。
  • 分享你的想法。我们有兴趣开发额外的资源,以帮助社区了解内部威胁并在威胁知情的情况下做出决定。如果您有任何想法或建议,请告诉我们。

    问题和反馈

    发布知识库是建立社区范围内合作以促进我们对内部威胁的集体理解的第一步。我们正在积极寻求有关此初始版本的反馈,并将在您的支持下继续改进它。请提交有关任何技术问题/疑虑的问题,或直接联系ctid@mitre-engenuity.org进行更一般的查询。

    注意

    版权所有 2022 MITRE Engenuity。获准公开发行。文件编号 CT0041。
    根据 Apache 许可证 2.0 版(“许可证”)获得许可;除非遵守许可,否则您不得使用此文件。您可以在以下网址获取许可证的副本
    http://www.apache.org/licenses/LICENSE-2.0
    除非适用法律要求或书面同意,否则根据许可分发的软件将按“原样”分发,没有任何明示或暗示的保证或条件。有关许可下的特定语言管理权限和限制,请参阅许可。

    该项目使用 ATT&CK®

    ATT&CK 使用条款