介绍了ATT&CK检测采集器

来源:https://www.splunk.com/en_us/blog/security/introducing-attack-detections-collector.html

https://d3fend.mitre.org/tools/attack-extractor/?q=%5B%5D

https://github.com/splunk/security_content

https://github.com/splunk/attack-detections-collector

Splunk SURGe团队喜欢自动化和简化平凡的任务。通过快速响应博客,我们提供了影响每个人,而不仅仅是影响客户的安全事件的上下文和分析。我们坚信,通过共享知识和经验,我们可以帮助大众更好地了解威胁状况,并帮助他们改善安全状况。

SURGe团队很懒。我们喜欢用脚本或某种形式的自动化来代替平凡的东西。在每个快速响应博客中,我们都包含一个表,列出了MITRE相关的ATT&CK技术以及企业安全内容更新(ESCU)的检测结果。起初,这是一项手工任务,SURGe团队成员识别MITRE ATT&CK技术,然后在ESCU中查找我们的检测结果。不用说,这是一个耗时的过程,尽管我们值得为确保我们能为读者提供可操作的信息而付出努力。

一旦快速反应过程尘埃落定,我们就会忠于我们的本源,花一两个小时来回顾那些进展顺利的事情,也许更重要的是,哪些是可以改进的。这已经被证明对整个过程有巨大的好处,使我们能够开发工具和过程,为我们的读者带来更多的价值。早些时候,我们意识到我们花费了过多的时间来收集ATT&CK技术,并生成ESCU检测的全面清单。我说过我们喜欢自动化和简化平凡的任务吗?

一、请Segue

既然我们知道了原因,让我们来看看如何做到这一点。我们开放了一个名为ATT&CK检测收集器(简称ADC)的新项目。ADC简化了收集ATT&CK技术和确定ESCU检测综合列表的过程,而无需费力。事实上,ADC生成了一个格式很好的、可以用于博客的表。在ADC之前,可怜的人必须手动生成列表。我们甚至添加了一个额外的功能,自动生成一个ATT&CK导航层。这使得任何人都可以直接在ATT&CK Navigator中可视化ESCU检测和覆盖。


你可能会问,ADC是如何完成这个魔法的?当然是用Python脚本。只需运行带有ATT&CK技术列表的adc.py,或者提供包含这些技术的URL(比如供应商的博客文章)。该脚本将自动提取所需的参数,从MITRE ATT&CK数据集中抓取上下文,然后将其与ESCU检测匹配。就这么简单…和自动化!请注意,这不是一个应用程序或任何产品的添加,只是一些额外的东西,使您的生活更容易。

我们已经使在Jupyter notebook中运行这段代码变得很容易,它可以在几秒钟内创建一个漂亮的表。您可以很容易地链接到每个检测,以便更好地理解它如何与您的数据相关。


还记得我们之前提到的额外功能吗?让我们看看那会是什么样子。颜色梯度取决于特定ATT&CK技术的ESCU检测次数。此外,您可以在评论部分查看相关ESCU检测的直接链接。还有很多空间可以通过存储库中的输出模板自定义输出,您已经准备好了。


三、代码,或者它没有发生

完成了。我们开放了ATT&CK检测收集器项目,这样它就可以像帮助我们一样帮助别人。请查看这里的代码,以及关于如何安装和使用该项目的更详细的文档。我们将继续为该项目做出贡献,以解决任何潜在的bug或特性请求。

我们也坚信应该吃自己的狗粮。如果你想看看我们在过去使用ADC的一些例子,可以看看我们之前的一些博客文章,比如在Splunk和SUPERNOVA Redux中检测HAFNIUM Exchange服务器零日活动,以及大量的Masquerading。你可以期待我们在未来发布大量的博客文章。我们听说网络安全问题会持续下去。

如果您觉得ADC很有用,或者对如何改进项目有想法,我们很乐意听到您的声音!Splunk的SURGe团队将在未来分享更多有趣的项目,所以请保持警惕。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,772评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,458评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,610评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,640评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,657评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,590评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,962评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,631评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,870评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,611评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,704评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,386评论 4 319
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,969评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,944评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,179评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,742评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,440评论 2 342

推荐阅读更多精彩内容