来源:https://www.splunk.com/en_us/blog/security/introducing-attack-detections-collector.html
https://d3fend.mitre.org/tools/attack-extractor/?q=%5B%5D
https://github.com/splunk/security_content
https://github.com/splunk/attack-detections-collector
Splunk SURGe团队喜欢自动化和简化平凡的任务。通过快速响应博客,我们提供了影响每个人,而不仅仅是影响客户的安全事件的上下文和分析。我们坚信,通过共享知识和经验,我们可以帮助大众更好地了解威胁状况,并帮助他们改善安全状况。
SURGe团队很懒。我们喜欢用脚本或某种形式的自动化来代替平凡的东西。在每个快速响应博客中,我们都包含一个表,列出了MITRE相关的ATT&CK技术以及企业安全内容更新(ESCU)的检测结果。起初,这是一项手工任务,SURGe团队成员识别MITRE ATT&CK技术,然后在ESCU中查找我们的检测结果。不用说,这是一个耗时的过程,尽管我们值得为确保我们能为读者提供可操作的信息而付出努力。
一旦快速反应过程尘埃落定,我们就会忠于我们的本源,花一两个小时来回顾那些进展顺利的事情,也许更重要的是,哪些是可以改进的。这已经被证明对整个过程有巨大的好处,使我们能够开发工具和过程,为我们的读者带来更多的价值。早些时候,我们意识到我们花费了过多的时间来收集ATT&CK技术,并生成ESCU检测的全面清单。我说过我们喜欢自动化和简化平凡的任务吗?
一、请Segue
既然我们知道了原因,让我们来看看如何做到这一点。我们开放了一个名为ATT&CK检测收集器(简称ADC)的新项目。ADC简化了收集ATT&CK技术和确定ESCU检测综合列表的过程,而无需费力。事实上,ADC生成了一个格式很好的、可以用于博客的表。在ADC之前,可怜的人必须手动生成列表。我们甚至添加了一个额外的功能,自动生成一个ATT&CK导航层。这使得任何人都可以直接在ATT&CK Navigator中可视化ESCU检测和覆盖。
你可能会问,ADC是如何完成这个魔法的?当然是用Python脚本。只需运行带有ATT&CK技术列表的adc.py,或者提供包含这些技术的URL(比如供应商的博客文章)。该脚本将自动提取所需的参数,从MITRE ATT&CK数据集中抓取上下文,然后将其与ESCU检测匹配。就这么简单…和自动化!请注意,这不是一个应用程序或任何产品的添加,只是一些额外的东西,使您的生活更容易。
我们已经使在Jupyter notebook中运行这段代码变得很容易,它可以在几秒钟内创建一个漂亮的表。您可以很容易地链接到每个检测,以便更好地理解它如何与您的数据相关。
还记得我们之前提到的额外功能吗?让我们看看那会是什么样子。颜色梯度取决于特定ATT&CK技术的ESCU检测次数。此外,您可以在评论部分查看相关ESCU检测的直接链接。还有很多空间可以通过存储库中的输出模板自定义输出,您已经准备好了。
三、代码,或者它没有发生
完成了。我们开放了ATT&CK检测收集器项目,这样它就可以像帮助我们一样帮助别人。请查看这里的代码,以及关于如何安装和使用该项目的更详细的文档。我们将继续为该项目做出贡献,以解决任何潜在的bug或特性请求。
我们也坚信应该吃自己的狗粮。如果你想看看我们在过去使用ADC的一些例子,可以看看我们之前的一些博客文章,比如在Splunk和SUPERNOVA Redux中检测HAFNIUM Exchange服务器零日活动,以及大量的Masquerading。你可以期待我们在未来发布大量的博客文章。我们听说网络安全问题会持续下去。
如果您觉得ADC很有用,或者对如何改进项目有想法,我们很乐意听到您的声音!Splunk的SURGe团队将在未来分享更多有趣的项目,所以请保持警惕。
