DeTT&CT入門2
はじめに
DeTT&CT入門の続きとして、次の内容を紹介します。
- DeTT&CTエディタ
- データソース管理ファイルの詳細
- テクニック管理ファイルの詳細
DeTT&CTエディタ
DeTT&CTエディタ
DeTT&CTエディタは、DeTT&CTによって提供されるWebアプリです。DeTT&CTの実行環境を用意し dettect.py に e を指定して起動することで利用することができます。
DeTT&CTエディタは、DeTT&CTのデータソース管理ファイル、テクニック管理ファイル、攻撃者グループ管理ファイルに対して、作成や編集といった操作を行うことができます。
DeTT&CTにおける管理ファイルはYAML形式で書かれています。
データソース管理ファイルの詳細
データソース画面
| 名前 | 説明 |
|---|---|
| Filename | 管理するファイルの名前 |
| File type | YAMLファイルの種類を表す。データソース管理ファイルの場合は data-source-administration
|
| Version | データソース管理ファイルの規定バージョン。現在のバージョンは1.1 |
| Domain | ATT&CKドメイン。 enterprise-attack、 ics-attack、mobile-attack
|
| Name | データソースを記述するアセットの種類。例: endpoint |
| Systems | applicable_to と platform をセットにしてリストとして記述する |
| Data Sources | データソースを1つずつ登録する |
プラットフォームの組み合わせに対して、自分で名前を付ける仕組みが applicable_to となります。
applicable_to にはDeTT&CT側で便宜的に作る「システムタイプ」のラベルを表します。そのシステムタイプに紐付く1つ以上のプラットフォームの集合を参照します。
platformには、 ATT&CKが定義している「プラットフォーム」を記述します。 例: Windows、Linux、macOS、Office 365、Azure AD、SaaSなど。
データソースには、データソースを1つずつ登録します。
データソースには以下の情報を記載します。
| 名前 | 説明 |
|---|---|
| Name | データソース名。ATT&CKのデータコンポーネントと対応する |
| Applicable to | システムタイプのラベルを指定する |
| Date registered | データソース管理ファイルにこのデータソースを登録した日付 |
| Date connected | セキュリティデータレイクにこのデータソースがつながった日付 |
| Data source enabled | データソースが有効か |
| Available for data analytics | ブルーチームメンバーがデータ分析に利用可能か |
| Products | データソースデータを用意する製品のリスト。例: Windowsイベントログ |
| Comment | 任意のコメント |
| Data quality | データ品質スコア |
データソースには、 applicable_to 単位で異なる情報を登録することができます。
つまり、あるデータソース(たとえばFile Creation)を登録したい場合、Systemsで用意したシステムタイプのラベルごとに、登録日情報やデータ品質スコアを設定することができます。
データ品質には、5つの観点からデータ品質スコアを設定します。
テクニック管理ファイルの詳細
テクニック画面
| 名前 | 説明 |
|---|---|
| Filename | 管理するファイルの名前 |
| File type | YAMLファイルの種類を表す。テクニック管理ファイルの場合は techniques-administration
|
| Version | データソース管理ファイルの規定バージョン。現在のバージョンは1.1 |
| Domain | ATT&CKドメイン。 enterprise-attack、 ics-attack、mobile-attack
|
| Name | どのような種類のアセットに対してテクニックを説明しているか。例: endpoint |
| Notes | メモ |
| Platform | テクニックを記述するプラットフォームの種類。ATT&CKのプラットフォームに対応 |
| Techniques | 各テクニックごとの検出と可視性 |
テクニック詳細
| 名前 | 説明 |
|---|---|
| テクニックID - テクニック名 | ATT&CKのテクニックを指定する |
検出スコア
| 名前 | 説明 |
|---|---|
| Applicable to | システムタイプのラベルを指定する |
| Location of the detection(s) | 検出情報が存在する場所を記載する。例: SIEM製品、ユースケース、検出情報の特定のIDや名前 |
| Comment | メモ |
| Score date | スコアを設定した日付 |
| Score | スコアの値 |
| Score logbook | 過去設定したスコアと日付が格納される |
テクニックには、 applicable_to 単位で異なる情報を登録することができます。
つまり、あるテクニック(たとえばT1059.006)を登録したい場合、システムタイプのラベルごとに、検出スコアや可視性スコアを登録することができます。
applicable_toの記述は、データソース管理ファイルのSystemsで指定する applicable_to と合わせることが推奨されています。
可視性スコア
| 名前 | 説明 |
|---|---|
| Applicable to | システムタイプのラベルを指定する |
| Comment | メモ |
| Score date | スコアを設定した日付 |
| Score | スコアの値 |
| Score logbook | 過去設定したスコアと日付が格納される |
まとめ
本記事では、DeTT&CTエディタおよび、データソース/テクニック管理ファイルについて紹介しました。
DeTT&CTは、データソース管理ファイルとテクニック管理ファイルを用意し、メンテナンスしていくことが重要となります。
一方、データソースやテクニックは数が多く、1つずつ手作業で処理していくのは大変です。
次回の記事では、DeTT&CTの管理ファイルを新規作成したり定期的に更新したりする際に便利なツール dettectinator を紹介します。
- dettectinator入門: https://zenn.dev/sesamum/articles/8930d251b08ef5
関連記事
MITRE ATT&CK関連記事一覧
Discussion