蓝队知识管理利器(1)-ATT&CK Workbench

ATT&CK Workbench是MITRE组织最新开源的一款工具,通过它可以更加容易的管理自己本地的TTP库。Workbench 允许用户探索创建注释共享ATT&CK 知识库的扩展。组织或个人可以通过workbench来初始化他们自己的应用程序实例,配合ATT&CK Navigator可以更容易的定制出自己的TTP矩阵。

ATT&CK Workbench的适用人群?

如果你符合以下问题中的任何一个,那么这个工程就适用于你的组织

  • ATT&CK是你安全运营组织的核心?
  • 你使用ATT&CK追踪外部威胁动态?
  • 你是否以ATT&CK对齐防护工作?
  • 你是否基于ATT&CK计划你的安全投资?

给你的ATT&CK副本添加注释

Workbench提供给用户注释本地ATT&CK副本的能力,Notes是一种非常好的方式用于给你的知识库添加额外的说明信息,同时也可以关联到matrices, techniques, tactics, mitigations, groupssoftware,同时你本地的自定义知识库也可以更新线上最新的ATT&CK库,并且当你的知识库更新的最新的ATT&CK数据,workbench还会保留你的notes

Notes的一些使用场景:

  • 在组织内共享非正式知识(例如“这种缓解措施可能有助于保护我们免受X侵害”)
  • 记录潜在的知识(例如“TO DO:验证威胁报告X 中提到的是否实际上是这种技术”)
  • 在开发工作流程中实现协作(例如“审查数据源信息并制定计划以开始收集检测此技术所需的数据。”)

[图片上传失败...(image-6b09b-1626882042153)]

扩展你的ATT&CK副本

Workbench最主要的用处在于提供给你一个简单的界面创建和扩展TTP对象的能力,你可以根据自己的实际情况编辑matrices, techniques, tactics, mitigations, groupssoftware,这也意味着你可以根据你的需要来扩展现有的知识库,也可以创建与 ATT&CK 术语一致且可与 ATT&CK 工具一起使用的全新数据集。在工作台中创建的数据可以无缝集成到现有的 ATT&CK 数据中——新的groupsoftware可以通过procedure示例连接到现有的technique,也可以在现有的 ATT&CK的technique下创建新的sub-technique

在本地知识库中创建或扩展 ATT&CK 数据可实现许多重要的场景,例如:

  • 创建本地红队的技术库,以便可以像上线ATT&CK技术一样跟踪它们
  • 记录针对您的部门或组织但目前未被 ATT&CK 团队跟踪的group或software
  • 使用上线ATT&CK知识库范围之外的新技术和策略开发你自己的TTP矩阵
image-20210716181642905

Workbench 还包括一些支持团队协作的功能,例如能够将对象标记为“work in progress”、“awaiting review”或“reviewed”,以及查看对象历史,用以查看对象在何时被谁更新了。

打破孤岛——更新和分享你的扩展

随着团队扩展和注释他们的 ATT&CK 数据,Workbench 支持导入和导出本地ATT&CK数据来实现工作成功的共享。Workbench 用户可以订阅线上 ATT&CK 数据集,合并发布自己的数据。订阅允许用户保持与指定的知识库的同步更新,将集合导入 Workbench 后,您可以预览其中包含的内容以及内容与本地知识库的关系。

在组织之间共享 ATT&CK 相关信息作为集合将:

  • 通过启用自动导入并提供详细的更改历史记录,简化与 ATT&CK 保持同步的过程
  • 通过导入多个集合,允许用户将来自 ATT&CK 的最新信息与来自其他来源(威胁情报供应商、ISAC 和 ISAO 以及 ATT&CK 社区的其他成员)的情报扩展集成
  • 为 ATT&CK 的贡献创建结构和一致性

[图片上传失败...(image-b823eb-1626882042153)]

ATT&CK 在GitHub 上提供了当前和历史版本的知识库文件官方集合。用户可以简单地订阅这些集合,并在发布后导入新的 ATT&CK 版本。

工具集成

Workbench 工具支持与其他 ATT&CK 工具的许多集成。REST API 提供对知识库内容的编程访问,允许 ATT&CK 开发的工具或第三方应用程序扩展本地知识库的功能以匹配您的用例。当前 Workbench 版本默认支持以下组件的集成:

  • ATT&CK Website Repository:通过 ATT&CK 网站的视角查看您的知识库,并直接在网站上的对象页面上查看您在对象上创建的注释。我们希望 ATT&CK 网站集成对于希望在熟悉的环境中查看自定义内容或使用网站的许多内置功能(例如完整的 ATT&CK 矩阵、生成的导航器层等)。
  • ATT&CK Navigator:在ATT&CK Navigator查看和注释您的新技术、战术和矩阵,并在矩阵视图中查看您在技术上创建的注释。这种集成允许用户根据 ATT&CK 数据集的自定义扩展创建图层文件,从而支持在 ATT&CK 社区内开发的许多使用导航器的现有工作流。

有关Workbench与其他组件集成的配置方法,可以参考集成文档

配套资源

ATT&CK Workbench Frontend 是用户文档和安装说明的入口。除了单独安装配置每个组件外,还包含一个 docker compose(和相关说明)以简化应用程序的部署。

参考文档

https://medium.com/mitre-engenuity/att-ck-workbench-a-tool-for-extending-att-ck-e1718cbfe0ef

原文链接: 蓝队知识管理利器(1)-ATT&CK Workbench

推荐阅读更多精彩内容