コラム:MITRE ATT&CKでセキュリティカバレージを可視化しよう
第3回 THXシリーズのカバレージ

このコンテンツは、2022年5月25日に実施したウェビナー「【サイバー攻撃分析の手法】MITRE ATT&CKにおけるNetwork Trafficの使い方~パケットやメタデータからわかること~」の内容をもとに加筆修正したものです。

本連載は「MITRE ATT&CK」に興味をもつ方に向けて、自社のセキュリティ対策がATT&CK Matrix上のどの程度をカバーできているのか?を可視化する方法を説明しています。
全3回で構成する予定で、それぞれの回の内容は以下の通りです。

第3回では、実際にマニュアルでソリューションカバレージをマッピングする作業をやってみましょう。
THXシリーズはNetwork Trafficデータソースを提供できますが、では、これを利用することでMITRE ATT&CK MatrixのどのTechniquesを検出できる可能性があるでしょうか。
Data SourceとTechniquesを直接自動マップする機能は用意されていないため、手動でマップする方法を見ていきましょう。

おおまかな手順は以下の通りです。

  • Data Source(Data Component)が紐づけられているTechniquesを調べる。
  • そのTechniquesが紐づけられたTacticsを調べる。
  • Matrix上で該当Tacticsに属するTechniquesから①で調べたTechniqueを見つけてカラーリングする。

まずは特定のData Sourceを選択します。ATT&CKのページで「Data Sources」メニュータブを選択し、左ベイメニューから選択したいData Sourceを探してください。
今回は「Network Traffic」を探します。

図:Data Sourcesの選択

図のように、Network Trafficに紐づいたTechniquesがリストされている画面が表示されます。リストの先頭にある「Automated Exfiltration」(T1020)をクリックすると、そのTechniqueの説明画面に移行します。

図:Automated Exfiltrationの説明画面

Technique説明画面の右上の部分に、そのTechniqueが属するTacticsが表示されています。ひとつ注意していただきたいのは、1つのTechniqueは複数のTacticsで使用されていることがあるという点です。その場合は、この右上のTacticsの表示も複数個となります。

「Automated Exfiltration」が属するTacticsがわかったところで、実際のMatrix上でこれを探してみます。

図:Automated Exfiltration

目指すTechniqueの場所は分かりましたが、このMatrix画面上では自分好みのカラーをTechniqueに付与することができません。そこで、MITRE ATT&CKで用意されている、Matrix編集用の便利なツールを使います。

ATT&CK Matrixのページのメニュータブから「Resources」を選択すると「Working with ATT&CK」というメニューが選べます。これを選択してみましょう。

表示された画面の中段に「Tools for working with ATT&CK」があり、そこに「ATT&CK Navigator」の説明があります。「Open the application」のリンクを選択して「ATT&CK Navigator」を起動してください。

初期メニューが表示されますので、「Create New Layer」の「Enterprise」を選びましょう。

図:ATT&CK Navigatorの初期メニュー

すると、未編集のMITRE ATT&CK Matrixが表示されるはずです。

図:未編集のMITRE ATT&CK Matrix

右上に編集のために利用できる様々なメニューが用意されています。任意のTechniqueをクリックして選択した状態にすると編集メニューの「technique controls」が使えるようになりますので、「background color」を選択してパレットを出してください。パレットからマウスで色を選択すると、あらかじめ選んでおいたTechniqueにその色が付与されます。

図:Techniqueを選択すると「technique controls」が使えるようになる
図:background color
図:カラーリングされたTechnique

このようにすることで、Network Trafficデータソースに属する1つめのTechniqueが、Matrixのどの部分にあるかカラーマップすることができました。

同じ手順で、Network Trafficデータソースの「Network Traffic Content」に含まれるすべてのTechniqueをカラーマップしたものが以下の図です。

図:Network Traffic Contentに含まれる全Technique

同様の手順で「Network Flow」のTechniqueをマップすると以下のようになります。

図:Network Flowに含まれる全Technique

この2つのマップを重ねると、THXシリーズでサポート可能なすべてのTechniqueをカラーリングできます。

図:THXシリーズでサポート可能な全Technique

このように、自社システム内に組み込まれているセキュリティデバイスやソリューションがどのデータソースをサポートできるかがわかれば、そのデバイスやソリューションによってカバーできるTechniqueをMatrix上にマップしていくことができます。MITRE ATT&CK に定義されているすべてのTechniquesのうち、自社はどの程度カバーできているのかを視覚的に確認することができるようになり、カバレージの管理にも役に立つと思われます。

MITRE ATT&CKを用いた自社セキュリティカバレージの評価に、皆様も一度取り組んでみてはいかがでしょうか。

【各回のコラムには、下記リンクよりアクセスいただけます。】

脅威ハンティング支援ツール「THX」について

THXは株式会社テリロジーワークスが独自に開発する脅威ハンティングツールです。
詳細につきましては、以下のページをご覧ください。

【8月23日開催ウェビナー】
ネットワークトラフィックでThreatHunting!with MITRE ATT&CK

8月23日にウェビナーを開催する予定です。
本講座では、THXとElastic Securityの連携によるデータの可視化、収集したデータに対するルールの適用、各ルールとMITRE ATT&CKの関連などについてお話しします。
ネットワークトラフィックを自社のセキュリティ向上に活かしたいとお考えの方、是非、以下のページよりお申し込み下さい。

THXに関するお問い合わせや資料をご希望の方は、下記ボタンよりご連絡ください。