DeTT&CT実践2

はじめに

DeTT&CT実践1から続いて、DeTT&CT実践2ではMicrosoft Defender for Endpoint用のデータソース管理ファイルを作成し、データソースカバレッジの可視化を行います。

Microsoft Defender for Endpoint用のデータソース管理ファイル作成

1. dettectinatorを使って、Microsoft Defender for Endpointが対応するデータソースを作成します。

(.venv) $ python dettectinator.py -p DataSourceDefenderEndpoints -s ./attack-stix-data -a default -d enterprise -o ./input/data_sources_mde.yaml

• -p: プラグインとしてDatasourceDefenderEndpointsを指定します。
• -s: attack-stix-dataのディレクトリを指定します。
• -a: 対象となるシステムの識別情報を指定します。ここではdefaultを指定しています。
• -d: ATT&CKのドメイン(enterprise)を指定しています。

2. ブラウザから DeTT&CTエディタ( http://localhost:4201 )にアクセスします。

3. Select YAML file にて ~/dettect/input/data_sources_mde.yaml ファイルを開きます。

DeTT&CTを使ってデータソースカバレッジを可視化する

データソース管理ファイルを指定して、データソースカバレッジを可視化します。

1. dettectコンテナ内に入ります。

$ docker compose exec dettect /bin/bash

2. データソース管理ファイルを指定して、Navigator用レイヤーファイルを生成します。

データソースカバレッジは、自動的に算出されます。

# python dettect.py ds -fd ./input/data_sources_mde.yaml --local-stix-path ./attack-stix-data -o ./output/data_sources_mde.json -l

3. ブラウザでNavigatorを開きます。

Navigator用コンテナの用意は、以下の記事を参照してください。

https://zenn.dev/sesamum/articles/1f06dcdf8b3757

4. data_sources_mde.jsonをNavigatorに読み込みます。

Open Existing Layer -> Upload from local

Open Existing Layer

upload_from_local

データソースカバレッジが表示されます。

データソースカバレッジ

まとめ

DeTT&CTの実践として、dettectinatorを使ってデータソーズ管理ファイルの作成を実施しました。

また、データソース管理ファイルからデータソースカバレッジを算出し、Navigator用レイヤーファイルを生成しました。

Navigator用レイヤーファイルをNavigatorへインポートし、可視化された画面を確認しました。

次はデータソース管理ファイルからテクニック管理ファイルを生成し、可視性の可視化を行います。

• DeTT&CT実践3 https://zenn.dev/sesamum/articles/52033d41f073a4

関連記事

MITRE ATT&CK関連記事一覧
https://zenn.dev/sesamum/articles/fba079cadba113