介绍了ATT&CK检测采集器

来源：https://www.splunk.com/en_us/blog/security/introducing-attack-detections-collector.html

https://d3fend.mitre.org/tools/attack-extractor/?q=%5B%5D

https://github.com/splunk/security_content

https://github.com/splunk/attack-detections-collector

Splunk SURGe团队喜欢自动化和简化平凡的任务。通过快速响应博客，我们提供了影响每个人，而不仅仅是影响客户的安全事件的上下文和分析。我们坚信，通过共享知识和经验，我们可以帮助大众更好地了解威胁状况，并帮助他们改善安全状况。

SURGe团队很懒。我们喜欢用脚本或某种形式的自动化来代替平凡的东西。在每个快速响应博客中，我们都包含一个表，列出了MITRE相关的ATT&CK技术以及企业安全内容更新(ESCU)的检测结果。起初，这是一项手工任务，SURGe团队成员识别MITRE ATT&CK技术，然后在ESCU中查找我们的检测结果。不用说，这是一个耗时的过程，尽管我们值得为确保我们能为读者提供可操作的信息而付出努力。

一旦快速反应过程尘埃落定，我们就会忠于我们的本源，花一两个小时来回顾那些进展顺利的事情，也许更重要的是，哪些是可以改进的。这已经被证明对整个过程有巨大的好处，使我们能够开发工具和过程，为我们的读者带来更多的价值。早些时候，我们意识到我们花费了过多的时间来收集ATT&CK技术，并生成ESCU检测的全面清单。我说过我们喜欢自动化和简化平凡的任务吗?

一、请Segue

既然我们知道了原因，让我们来看看如何做到这一点。我们开放了一个名为ATT&CK检测收集器(简称ADC)的新项目。ADC简化了收集ATT&CK技术和确定ESCU检测综合列表的过程，而无需费力。事实上，ADC生成了一个格式很好的、可以用于博客的表。在ADC之前，可怜的人必须手动生成列表。我们甚至添加了一个额外的功能，自动生成一个ATT&CK导航层。这使得任何人都可以直接在ATT&CK Navigator中可视化ESCU检测和覆盖。

你可能会问，ADC是如何完成这个魔法的?当然是用Python脚本。只需运行带有ATT&CK技术列表的adc.py，或者提供包含这些技术的URL(比如供应商的博客文章)。该脚本将自动提取所需的参数，从MITRE ATT&CK数据集中抓取上下文，然后将其与ESCU检测匹配。就这么简单…和自动化!请注意，这不是一个应用程序或任何产品的添加，只是一些额外的东西，使您的生活更容易。

我们已经使在Jupyter notebook中运行这段代码变得很容易，它可以在几秒钟内创建一个漂亮的表。您可以很容易地链接到每个检测，以便更好地理解它如何与您的数据相关。

还记得我们之前提到的额外功能吗?让我们看看那会是什么样子。颜色梯度取决于特定ATT&CK技术的ESCU检测次数。此外，您可以在评论部分查看相关ESCU检测的直接链接。还有很多空间可以通过存储库中的输出模板自定义输出，您已经准备好了。

三、代码，或者它没有发生

完成了。我们开放了ATT&CK检测收集器项目，这样它就可以像帮助我们一样帮助别人。请查看这里的代码，以及关于如何安装和使用该项目的更详细的文档。我们将继续为该项目做出贡献，以解决任何潜在的bug或特性请求。

我们也坚信应该吃自己的狗粮。如果你想看看我们在过去使用ADC的一些例子，可以看看我们之前的一些博客文章，比如在Splunk和SUPERNOVA Redux中检测HAFNIUM Exchange服务器零日活动，以及大量的Masquerading。你可以期待我们在未来发布大量的博客文章。我们听说网络安全问题会持续下去。

如果您觉得ADC很有用，或者对如何改进项目有想法，我们很乐意听到您的声音!Splunk的SURGe团队将在未来分享更多有趣的项目，所以请保持警惕。