青藤：ATT&CK在安全运营中的放实践

，这样可以断定对于极为重要奇袭广泛应该用在电子邮箱采集和电子邮箱可见掀开放性上都假定的落差。例如，采集的打击间谍表明，著手勤务广泛应该用是奇袭组织慢慢地用作的主要广泛应该用，想告诉他公共安全工作团队是否可以验证到它，在ATTSimonCK基本中但会列出的该广泛应该用的电子邮箱源——文件监控、数据流监控、数据流指令行参数和 Windows 惨案历史记录记录可以透过答案，如下图示范了著手勤务广泛应该用的电子邮箱源。如果公共安全工作团队没有这些电子邮箱源，或者只有生态中但会的部分管理系统有这些电子邮箱源，那么公共安全工作团队无需优先考虑缩减这个重要电子邮箱源缺失的疑虑。

看到更好的公共安全归纳物件

采集所需的电子邮箱源非常重要，但这仅仅是第一步。在赚取电子邮箱并将其邮寄到采集管理系统（例如 SIEM）后，下一步是看到一个更好的归纳物件来归纳操作者何时但会用作某项广泛应该用。MITRE预先重写的互联网归纳存储库（CAR）简化了许多广泛应该用的归纳步骤，甚至透过了掀Linux归纳建议，例如 BZAR 计划，其中但会包含一组常用验证某些 ATTSimonCK 广泛应该用的 Zeek/Bro 剧本。虽然并非所有广泛应该用都有 CAR，但当公共安全掀开通工作团队掀开始实施新的验证特掀开放性时，它是一个寻找他的学生的好地方，因为假定的许多实例都精确可证字符串，以及特定于 EQL、Sysmon、Splunk 和其他新产品语言重写的归纳逻辑。下面这段字符串示范了常用捉到仍未从 explorer.exe 交互式启动PowerShell 数据流的可证字符串比如说。

process = search Process : Create

powershell = filter process where

(exe == "powershell.exe"AND parent_exe != "explorer.exe" )

output powershell

当然，这些归纳也可以内置到公共安全制造厂商的物件中但会。如果公共安全制造厂商透过的提供商中但会有预先创建的归纳建议，可以保证在用作过程中但会标示出奇袭广泛应该用（必要是要有正确的电子邮箱），那么增购这样的提供商也是慢速进入归纳工序的最简单新方法。

3.方法论：归纳试验中但会

在完成外部打击生态的归纳，并对内部的电子邮箱采集并能和ATTSimonCK 广泛应该用的覆盖面积覆盖范围分析报告后，就该掀开始同步进行试验中但会了。公共安全掀开通工作团队应该该按照并不相同的抽象层次同步进行多次试验中但会。对于大型企业来说，无需清楚地告诉他自身只能同步进行某项归纳或者现阶段缺失某项极为重要归纳，这一点很重要。因为操作者不太可能将大型企业漏掉的计划串联在两兄弟同步进行安全漏洞能用，这不太不但会使操作者吞并最终。因此，大型企业可以根据存储在 ATTSimonCK 海量中但会的间谍，同步进行红人和蓝队演习，并用作 ATTSimonCK 作为他的学生同步进行奇袭各种类型，在非常高的抽象层次上同步进行试验中但会。

粒子试验中但会

公共安全掀开通工作团队不太可能有自以为行不通的归纳，但它也就是说上却只能正常依赖于。强台风试验中但会的第一步也是极为重要的一步，是对归纳同步进行粒子试验中但会。大多数公共安全掀开通中但会心的归纳其他部门都告诉他，操作生态中但会不断变化的状态，再加上为减少误报而同步进行的一致调整，反之亦然多年运行的归纳比赛规则不太不但会突然失效，而粒子试验中但会是应该付这个疑虑的有效新方法。

粒子试验中但会不一定采用运行单个指令行的指令或单个手势的基本概念，这些指令或手势可以在 SIEM、IDS 或 EDR 中但会触发强台风，商业和掀Linux物件都并能这些试验中但会。无论以何种方式也发挥作用试验中但会，不可或缺的是对武器库中但会与特定广泛应该用或子广泛应该用比较应该的归纳同步进行停滞、准确的试验中但会，以确保其仍正常依赖于。在一个理想的管理系统中但会，每当暴发不太可能影响归纳特掀开放性的变非常时，就要启动一个粒子试验中但会，验证归纳特掀开放性没有受影响。

红人分析报告、紫队分析报告与奇袭各种类型

在粒子试验中但会的并重，为首用作多种试验中但会新方法，但会让试验中但会非常为相比之下主观奇袭。如今详见几种最中但会用的各种类型奇袭试验中但会新方法。

大多数公共安全工作团队采用的初始试验中但会新方法是紫队分析报告，它不一定以协作、交互和增量的方式也同步进行。紫队分析报告不一定用作与粒子试验中但会并不相同的新方法，逐步核查武器库中但会的每种奇袭广泛应该用。其要能是分析报告公共安全归纳是否可以通过多种并不相同的新方法触发，例如邮寄十分相似10种并不相同这不一定隐私附件的钓鱼邮箱。通过紫队分析报告让箝制试验中但会其他部门在归纳中但会用作最新、最隐蔽的新方法，不太不但会断定仍未知的安全漏洞，并确保归纳如预料的那样准确。

联结 ATTSimonCK 基本中但会每个攻防的粒子试验中但会结构设计紫队户外活动，紫队分析报告可以断定奇袭广泛应该用链，当这些奇袭广泛应该用两兄弟用作时，不太可能导致吞并最终。这些分析报告基于互联网和伺服器的电子邮箱源，可以暗示操作者是如何最终地完成最初的载荷送达和安全漏洞能用，以及安全漏洞能用后如何统率支配和用作箝制广泛应该用。针对 SOC 预料同步进行的归纳，以及其他不可验证的广泛应该用同步进行紫队试验中但会，以便断定假定哪些灾难性公共安全缺口。通过紫队试验中但会保证公共安全掀开通工作团队的归纳对主观奇袭有效。如果公共安全掀开通工作团队在紫队分析报告中但会表现良好，就该转向第二种这不一定的试验中但会了——红人试验中但会。

红人试验中但会是以操作者攻防和广泛应该用的打击建模驱动的分析报告，其要能是验证操作者是否不太可能在不被断定的情形下，访问生态中但会不可或缺的电子邮箱或资产。要试验中但会蓝队的 ATTSimonCK 覆盖面积和验证并能，红人应该该必需从前用粒子或紫队基本概念试验中但会过，并且 SOC 有信心在主观故事情节中但会可以有效抵挡奇袭的计划，这都有红人分析报告中但会获得实用价值的极为重要点。红人试验中但会不一定是一种突袭奇袭，所以它相比粒子和紫队试验中但会非常相比之下主观奇袭。而且红人试验中但会不仅试验中但会蓝队的归纳情形，还试验中但会他们分析报告和及时号召主观强台风的并能。

最相比之下主观奇袭情形的是奇袭各种类型试验中但会，它旨在尽不太可能主观地各种类型打击组织慢慢地的奇袭。同时，在规划奇袭各种类型试验中但会的新方法时，也可以按照ATTSimonCK的比赛规则来必要措施打击间谍。红人可以详见这些打击间谍电子邮箱来调整他们的奇袭，让自己像是非常像主观的奇袭组织慢慢地。

在许多上都，这些这不一定的试验中但会，例如箝制试验中但会或红人试验中但会，它们只限于最高打击操作者所用作的奇袭广泛应该用。作为蓝队，最好的表现就是能够慢速、准确地号召奇袭各种类型试验中但会，这表明公共安全工作团队已经优化了验证新方法，并制订了必要的号召工序，以对策来自最高打击奇袭组织慢慢地的潜在吞并。如下图基于 ATTSimonCK 的试验中但会这不一定图说，图中但会论述了各种试验中但会这不一定的极为重要素材。

在为了让这些这不一定的试验中但会同和时，我们建议每季度或每六个年末为了让一次分析报告，这具体内容取决于公共安全工作团队的体量和工作团队职责。对于粒子试验中但会而言，打击生态、广泛应该用、物件或电子邮箱源的任何变化都但会给奇袭方创造隐藏的机但会。因此，应该该时有同步进行繁复试验中但会，以确保公共安全工作团队的并能。在这上都，若有任何物件可以缩短著手和执行这些试验中但会所需的时间段，都许多人增购，因为物件的增购效益是可以巧妙收回的。对于粒子试验中但会和非常相比之下主观奇袭的试验中但会来说，将潜在破坏掀开放性惨案的断定与重新试验中但会特定归纳的触发因素关系慢慢地，让公共安全掀开通工作团队的并能始终领先于操作者。通过时有、停滞掀开展各种试验中但会，剪辑一支并能准确的蓝队来验证和对策操作者的奇袭。

二、将ATTSimonCK广泛应该常用公共安全掀开通中但会的新方法

首次将ATTSimonCK基本常用公共安全掀开通时，可以通过下面详见的三种方式也尽快发挥作用ATTSimonCK的实用价值。

1.能用除此以外公共安全物件

在日常的公共安全掀开通中但会，许多公共安全工作团队用作公共安全制造厂商透过的公共安全物件和设备，可以通过这些管理系统的内置特掀开放性将 ATTSimonCK 建模集成到自身生态中但会。公共安全制造厂商的新产品（例如 EDR、IDS、SIEM等）都十分相似签名集，并根据 ATTSimonCK 相应该的技攻防同步进行分类，记号并不相同强台风。这样就可以巧妙地创建当前，并根据 ATTSimonCK 广泛应该用记号提醒 SOC 无需担忧的户外活动。

与 ATTSimonCK 方面的公共安全强台风从大型企业各种公共安全措施中但会随其他强台风同时邮寄，如果在一定周期内这个强台风几乎假定，大型企业可以轮询所有已应该付惨案的电子邮箱，并查看操作者针对其生态所采用的ATTSimonCK广泛应该用。这是打击间谍的最佳基本概念——电子邮箱由来组织慢慢地内已经暴发的也就是说奇袭。此时通过公共安全制造厂商的物件创建这些间谍，让公共安全工作团队能够慢速果断地采取行动。公共安全工作团队可以根据已应该付的惨案，剪辑操作者对其最中但会用奇袭广泛应该用的数据处理地图。这些电子邮箱可以反馈给打击间谍部门，常用非常进一步确认操作者的具体内容电子邮箱。

2.能用多维度电子邮箱源

ATTSimonCK 基本中但会列出了大量电子邮箱源，这些电子邮箱主要基于互联网电子邮箱和伺服器电子邮箱。

从窜器或光栅端口拉取的互联网电子邮箱源的优点是，能够主观地反映互联网上暴发的情形。但由于加密广泛应该用的兴起，互联网电子邮箱更难以用作。虽然一些协议可以被将但会解密并以明文基本概念历史记录记录，但许多大型企业不用作这些特掀开放性，必需比如说互联网上正在暴发的事情。

基于可信的伺服器电子邮箱源（如数据流创建历史记录记录、防病毒、EDR物件电子邮箱和伺服器吞并威慑新产品）可以了解到每个伺服器上暴发情形的详述电子邮箱。伺服器上支撑着大型企业的一个中但会心资产，也是操作者的奇袭要能和最终的户外活动场所，因此，伺服器防盗非常极为重要。红花猎鹰基于ATTSimonCK基本，帮助其他用户应该付公共安全电子邮箱汇集、电子邮箱挖掘、惨案回溯、公共安全并能整合等各类疑虑；透过了上百类ATTSimonCK奇袭故事情节，其他用户可单独对电子邮箱同步进行浅层挖掘，及时断定潜在打击。

基于伺服器和互联网的电子邮箱是互补的，它们从两种并不相同的视角关注操作者户外活动。公共安全工作团队可以同时用作这两种这不一定的电子邮箱来发挥作用最全面的广泛应该用可见掀开放性。此外，也有非常好的办法，例如制订掀Linux的 Community ID 标准（已经给予许多公共安全物件的支持），这并能防守方在多个电子邮箱源查看同一事务的并不相同界面，并将使两种这不一定电子邮箱的能用非常为方便。还有一点无需忽略的是，有些策略在伺服器上非常容易被断定，如众所周知化、特权提高和执行。如果大型企业断定自身的弱点是ATTSimonCK基本中但会的某项攻防，则可关注与该攻防下的广泛应该用最最最简单的（互联网或伺服器）电子邮箱这不一定，从而非常有效地提高针对相应该攻防中但会所有广泛应该用的号召并能。

3.同步进行历史记录衡量和并能趋势归纳

广泛应该用 ATTSimonCK最后一个极为重要点在于，跟踪公共安全掀开通工作团队在一段时间段内的进步。虽然SOC在机具和广泛应该用层面都很贵，但它能透过额外的必要措施，防止金融业务中但会断，因而物有所值。然而发挥作用这种实用价值这不容易。好不容易的是，同步进行基于 MITRE ATTSimonCK 的先期不仅透过了一种客观衡量公共安全工作团队并能的新方法，而且还可以示范某一阶段公共安全并能提高的效果。以下是一些进一步提高公共安全威慑并能的具体内容新方法：

缩减粒子和定时归纳试验中但会可以验证的广泛应该用数量。

进一步提高可以验证到的据信奇袭广泛应该用的百份。

根据紫队试验中但会的结果断定疑虑——有多少广泛应该用被遗漏、被验证到和被拦截？

根据红人试验中但会和奇袭各种类型试验中但会的结果断定疑虑——操作者被赶走了吗？用了多久？SOC 的号召速度有多快？

蓝队如果能够证明这些当前随着时间段的推移有所缩减，就可以证明将ATTSimonCK广泛应该常用公共安全掀开通给大型企业带来的实用价值。这种实用价值表象上但会产生一个良掀开放性循环，让公共安全工作团队成员、董事局和大型企业都以求但会受益。

三、写在最后

近年来，有很多大型企业能用ATTSimonCK提高了打击威慑并能。但是我们也要忘记ATTSimonCK 这不是应该付所有大型企业公共安全疑虑的灵丹妙药。只有不断了解到地了解到它，理解它的实用价值所在，并清楚地告诉他想通过它应该付什么疑虑，ATTSimonCK才能成为大型企业缩减威慑并能的有效新方法。而且，大型企业能用ATTSimonCK进一步提高公共安全掀开通并能只是第一步，非常了解到的广泛应该用是在了解到ATTSimonCK基本的并重，建起大型企业自己的ATTSimonCK，从而在公共安全掀开通中但会非常好地发挥它的实用价值。

为进一步帮助互联网公共安全从业其他部门非常好地了解到、认识和用作ATTSimonCK，自学高效率的理论体系，提高防守方的广泛应该用水平，红花云公共安全将于2022年1年末13日举办“ATTSimonCK广泛应该用工业发展论坛”，同时公掀开发表《ATTSimonCK基本方法论简介》。进场现场直播户外活动，享限时5折购书优惠！

（文艺部:董萍萍）。

嗓子疼咳嗽怎么回事
阿尔茨海默病的常见病因
眼睛不舒服老是感觉有异物
小葵花
夜间快速止咳的方法
慢性支气管炎咳嗽怎么治
乳房胀疼
安神药