来源:https://swimlane.com/blog/making-mitre-attck-actionable/
https://swimlane.github.io/attck/
https://swimlane.github.io/attck/external-data/data.md
The Swimlane Deep Dive team兴奋地宣布了pyattck 2.0的发布,以及一个等价的PowerShell版本PSAttck。这些开源工具为安全操作中心(soc)、防御者和进攻性安全团队提供外部数据点,通过提供特定技术的潜在命令、查询甚至检测来丰富MITRE att&ck。此外,这些数据点支持与特定攻击者参与者或组相关的上下文,以及关于恶意参与者使用的不同工具的详细信息。
通过访问MITRE att&ck技术、参与者和工具,安全专业人员可以搜索与特定技术相关的潜在命令的日志,允许他们构建和检索检测和查询信息。这些开源项目利用其他几个开源项目来提供可操作的环境,而不是依赖特定的领域知识和经验,使用MITRE att&ck中列出的特定技术、参与者或工具。
pyattck和PSAttck提供对以下外部数据点的访问:
(1)与行为者有关的目标、行动和其他数据。
(2)针对单个技术从开放源码项目中发出命令、查询、检测。
(3)来自http://www.thec2matrix.com的数据和其他数据集,为攻击者使用的特定工具提供上下文。
关于这些特性的更多信息可以在我们的Attck站点上获得,该站点包含pyattck、PSAttck和生成的外部数据的文档。
一、安装和使用pyattck
pyattck可以在pypi.org上找到,并且可以使用pip进行安装。要安装pyattck,可以执行以下命令:
pip install pyattck>=2.0.2
随着pyattck 2.0的发布,我们重新构建了项目,以区分不同的ATT&CK框架。这意味着您现在可以从pyattck访问PRE-ATT&CK、移动和企业框架。您只需要访问企业ATT&CK框架中的数据,然后指定企业属性:
from pyattck import Attck
attck = Attck()
for technique in attck.enterprise.techniques:
print(technique.name)
print(technique.id)
# if the technique has a command_list you can access it here
if hasattr(technique, 'command_list'):
print(technique.command_list)
可以使用以下工具访问其他MITRE ATT&CK框架:
PRE-ATT&CK - attck.preattack
Mobile ATT&CK - attck.mobile
此外,我们还添加了一个简单的命令行实用程序,以便您可以直接访问这些数据。安装pyattck之后,您可以通过从您喜欢的shell调用pyattck来访问该实用程序。
pyattck enterprise --help
有关pyattck和安装、配置选项、使用和一般文档的更多细节,请访问这里:https://swimlane.github.io/attck/pyattck/pyattck.
二、安装和使用PSAttck
PSAttck可以在https://www.powershellgallery.com/上找到,并且可以使用Install-Module进行安装。PSAttck兼容Windows PowerShell v5和PowerShell Core。要安装PSAttck,可以执行以下命令:
Install-Module -Name PSAttck
PSAttck与pyattck具有相同的特性,但在PowerShell中。PSAttck利用PowerShell类,使您能够使用提供的函数访问MITRE attack & ck数据和外部数据集。一旦安装和加载,你将可以访问以下公共函数:
Get-Attck
Get-AttckActor
Get-AttckMalware
Get-AttckMitigation
Get-AttckTactic
Get-AttckTechnique
Get-AttckTool
这些函数都有可选参数,可用于过滤结果。这些过滤器还包括自动补全参数值的能力:
PSAttck是pyattck的一个特性对特性的比较版本,但是是用PowerShell编写的。有关PSAttck和安装、配置选项、使用和一般文档的更多详细信息,请访问存储库和我们的Attck站点以获取更多文档:
https://github.com/swimlane/PSAttck
https://swimlane.github.io/attck/