使用 MITER ATT＆CK 增强威胁搜寻

什么是MITER ATT＆CK？

MITRE ATT＆CK是对手战术和技术的知识库。它已成为许多网络安全用例（例如威胁搜寻，红色团队和威胁情报充实）中的有用工具。RSA、Black Hat和Gartner安全与风险管理峰会等网络安全会议上经常讨论该框架。该框架提供了基于现实世界观察的情报信息，因此，它对威胁搜寻很有帮助。

Maze勒索软件

Maze 是2020年第三季度的两种顶级勒索软件之一。SandBlast Agent端点保护解决方案包括功能强大的反勒索软件保护模块，可以阻止上一章中介绍的Maze Ransomware。MITER ATT＆CK已映射了迷宫勒索软件使用的技术：

图1 Maze MITER ATT＆CK矩阵

使用MITRE ATT&CK

SandBlast Agent的威胁搜寻解决方案包括预定义的查询，使您可以快速找到活动的攻击，检测到的攻击，恶意文件等。此外，该解决方案还提供了一个MITER ATT＆CK仪表板，可帮助根据MITER ATT＆CK的情报调查攻击。在上面的用例中，当我们在MITER ATT＆CK的矩阵中查找“Maza”勒索软件时（图1），我们看到了勒索软件所使用的技术列表。我们可以使用SandBlast Agent的hreat Hunting仪表板寻找这些技术。让我们首先看一下“ Windows Management Instrumentation（T1047）”。根据MITER分析，MAZE使用“ wmic.exe”试图删除计算机上的 shadow volumes。当看着SandBlast Agent的MITER ATT＆CK仪表板（图2），我们可以看到SandBlast Agent在两台主机上观察到了115次该技术。

图2 MITER ATT＆CK威胁搜寻仪表板

我们可以在SandBlast Agent的Threat Hunting仪表板上单击该技术，以查看有关该技术的更多详细信息，更重要的是，获得可以帮助我们快速找到所有相关事件并继续进行调查的查询（图3）。

图3 MITER ATT＆K威胁搜寻预定义查询

当运行预定义的查询时，我们会得到令人印象深刻的结果。即使列表中的所有进程都是良性的，但大多数进程的父进程却不是。伟大的狩猎！

图4用MITER ATT＆CK成功搜寻

概要

在本章中，我们展示了如何通过使用SandBlast Agent的Threat Hunting解决方案主动寻找MITER ATT＆CK技术来增强Endpoint Security。