mitre-attack 工具调研
mitre-attack 工具调研
调研 github 上 mitre-attack 相关的工具,目标是寻找能够把审计记录映射到 mitre-attack 对应战术和技术上的工具。
atomic-red-team
仓库链接:https://github.com/redcanaryco/atomic-red-team
Atomic Red Team 是一个能够映射到 mitre-attack 框架上的测试库,安全团队可以使用该工具方便、快速地测试他们的环境。
该项目是一个用于测试的集合,以 mitre-attack 框架的编号进行分类,需要进行那一项技术的安全测试可以执行对应的测试,有较为详细的说明和代码实例,但是与现在的目标有所区别。
sysmon-modular
是面向 windows 系列的审计日志工具,因为使用 linux 系列的平台,windows 系列工具与目标不符合。
值得一提的是该项目的关于配置和 mitre-attack 的映射还是比较全的,只是暂时并不会使用 windows 系列系统作为实验环境。
ATTACK-Tools
该项目是一个 ATT&CK 相关的工具库,提供了两个工具,一个是 数据模型,另一个是 攻击视图,可以用来模拟攻击者攻击。
可以通过 SQL 语句使用数据模型,并提供了一个 sqlite 示例文件。
BLUESPAWN
一个基于异常活动检测的蓝队实时监控系统的系统,该项目也是基于 windows 系统的。该项目拥有多个模式,如:
- Hunt:捕获恶意行为的证据
- Mitigate: 通过应用安全设置来加固系统
- Monitor: 持续监控系统可能存在的恶意行为
- Scan: 扫描 Hunt 模式下捕获的恶意行为,确认是否是真实的恶意行为还是误报
- 其他
ThreatHunting
一个可以将 sysmon 日志记录映射到 mitre-attack 框架上的 splunk app,该项目有详细的文档。
sentinel-attack
一个 Azure 上的快速部署工具,可以快速配置 sysmon,开展威胁狩猎实验。
atomic-threat-coverage
这是一个可以自动生成可采取行动的分析,基于 mitre-attack 攻击模型,想要从检测、响应、缓解和模拟角度进行威胁发现和防御的工具。
该项目的产出有:
- Atlassian 汇总知识库
- markdown 知识库
- 可视化工具
auditd-attack
一个将 Linux Auditd 规则映射到 mitre-attack 框架上的工具。平台是与目标相符的,但是此项目是从 auditd 规则上进行对应,跟现有的记录对应还有一定差距。