mitre-attack 工具调研

调研 github 上 mitre-attack 相关的工具,目标是寻找能够把审计记录映射到 mitre-attack 对应战术和技术上的工具

atomic-red-team

仓库链接:https://github.com/redcanaryco/atomic-red-team

Atomic Red Team 是一个能够映射到 mitre-attack 框架上的测试库,安全团队可以使用该工具方便、快速地测试他们的环境。

该项目是一个用于测试的集合,以 mitre-attack 框架的编号进行分类,需要进行那一项技术的安全测试可以执行对应的测试,有较为详细的说明和代码实例,但是与现在的目标有所区别。

sysmon-modular

是面向 windows 系列的审计日志工具,因为使用 linux 系列的平台,windows 系列工具与目标不符合。

值得一提的是该项目的关于配置和 mitre-attack 的映射还是比较全的,只是暂时并不会使用 windows 系列系统作为实验环境。

ATTACK-Tools

该项目是一个 ATT&CK 相关的工具库,提供了两个工具,一个是 数据模型,另一个是 攻击视图,可以用来模拟攻击者攻击。

可以通过 SQL 语句使用数据模型,并提供了一个 sqlite 示例文件。

BLUESPAWN

一个基于异常活动检测的蓝队实时监控系统的系统,该项目也是基于 windows 系统的。该项目拥有多个模式,如:

  • Hunt:捕获恶意行为的证据
  • Mitigate: 通过应用安全设置来加固系统
  • Monitor: 持续监控系统可能存在的恶意行为
  • Scan: 扫描 Hunt 模式下捕获的恶意行为,确认是否是真实的恶意行为还是误报
  • 其他

ThreatHunting

一个可以将 sysmon 日志记录映射到 mitre-attack 框架上的 splunk app,该项目有详细的文档。

sentinel-attack

一个 Azure 上的快速部署工具,可以快速配置 sysmon,开展威胁狩猎实验。

atomic-threat-coverage

这是一个可以自动生成可采取行动的分析,基于 mitre-attack 攻击模型,想要从检测、响应、缓解和模拟角度进行威胁发现和防御的工具。

该项目的产出有:

  • Atlassian 汇总知识库
  • markdown 知识库
  • 可视化工具

auditd-attack

一个将 Linux Auditd 规则映射到 mitre-attack 框架上的工具。平台是与目标相符的,但是此项目是从 auditd 规则上进行对应,跟现有的记录对应还有一定差距。