TTP映射至MITRE ATT&CK与Sigma:将威胁情报转化为可落地的检测规则

qife122
0 阅读4分钟

1. 引言

网络威胁情报 (CTI) 只有在能够转化为可落地的防御措施时才有价值。实现CTI落地的最有效方法之一,是将观察到的攻击者行为 (TTPs) 映射到一个结构化的框架 (MITRE ATT&CK),然后将这些相同的行为表示为Sigma检测规则,以便在SIEM平台中部署。

2. 关键概念回顾

  • TTPs:战术、技术和程序;描述攻击者如何操作(例如,通过LSASS内存进行凭据转储)。
  • MITRE ATT&CK:一个全球性的攻击者TTPs知识库,按战术(目标)和技术(方法)进行组织。
  • Sigma:一种通用的、基于YAML的检测规则格式,可以转换为多种SIEM查询语言(例如,Splunk、ELK、Sentinel)。

3. 为什么要将TTPs映射到ATT&CK和Sigma?

  1. 标准化 为CTI、蓝队和安全运营中心(SOC)提供了一种通用语言。“T1059技术”在全球范围内都指代同一件事。
  2. 威胁覆盖范围追踪 映射有助于识别检测能力的空白
  3. 可落地的防御 ATT&CK告诉你要寻找什么,而Sigma则定义了在你的遥测数据中如何寻找它
  4. 威胁行为者关联 许多APT和恶意软件家族已有已知的ATT&CK映射,将新的观察结果与之关联可以快速进行归因和优先级排序。

4. 理解流程:从情报 → ATT&CK → Sigma

战役观察 (TTPs) ↓ MITRE ATT&CK 映射 (技术ID) ↓ 检测逻辑 (Sigma规则) ↓ SIEM 平台实现 (Splunk, Sentinel, QRadar)

示例:

  • 观察结果:“PowerShell被用来通过编码命令下载Payload”
  • ATT&CK 映射:T1059.001 — 命令和脚本解释器:PowerShell
  • Sigma 规则:检测带有 -EncodedCommand 参数的PowerShell进程启动
  • SIEM 查询:自动转换为 Splunk/Elastic/KQL 查询语句

5. 分步映射流程

第1步:识别TTPs

从威胁情报、恶意软件分析或威胁狩猎观察开始。

示例(来自事件报告): 攻击者使用 rundll32.exe 从临时目录执行了恶意DLL。

第2步:映射到ATT&CK

查找相关的ATT&CK技术:

  • T1218.011 — 签名二进制代理执行:Rundll32
  • 战术:防御规避 / 执行

第3步:识别可观测的数据点

哪些遥测数据/日志可以暴露此活动?

  • 进程创建日志 (Sysmon ID 1)
  • 命令行参数
  • 文件路径 (%Temp%)
  • 父子进程链

第4步:转换为Sigma

创建一个Sigma规则,在Windows事件日志中寻找上述特征。

title: 从临时文件夹执行的可疑Rundll32
id: 12345-cti-temp-rundll32
status: experimental
description: 检测位于临时目录中的DLL经由rundll32执行的情况
author: Ankit Chauhan
logsource:
  product: windows
  category: process_creation
detection:
  selection:
    Image|endswith: '\rundll32.exe'
    CommandLine|contains: '\Temp\'
  condition: selection
fields:
  - Image
  - CommandLine
falsepositives:
  - 合法的软件更新
level: high
tags:
  - attack.t1218.011
  - attack.execution

attack.t1218.011 标签直接将此Sigma规则与MITRE ATT&CK关联起来。

6. 真实案例 — PowerShell C2 信标

  • 观察结果: 恶意软件执行了编码的PowerShell命令以连接到远程服务器。
  • ATT&CK 技术
    • T1059.001 — 命令和脚本解释器:PowerShell
    • T1071.001 — 应用层协议:Web协议
  • 相关的Sigma规则
title: PowerShell 编码命令执行
id: powershell-c2
description: 检测使用 EncodedCommand 开关的 PowerShell 命令行
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    Image|endswith: 'powershell.exe'
    CommandLine|contains: '-EncodedCommand'
  condition: selection
tags:
  - attack.t1059.001
  - attack.execution
level: high

7. 扩展映射 — 关联CTI活动

  • 威胁行为者:FIN7
  • 观察到的技术
    • 鱼叉式钓鱼附件 → T1566.001
    • 通过PowerShell执行 → T1059.001
    • 凭据转储 (LSASS) → T1003.001
    • 通过HTTP外传数据 → T1041

现在,你可以:

  • 在ATT&CK Navigator(攻击者知识库导航器)中映射这些技术(生成可视化热力图)。
  • 使用为每项技术编写的Sigma规则来关联检测覆盖范围。
  • 识别尚无检测逻辑的覆盖空白。

这有助于优先开发新的检测规则,或验证整个MITRE ATT&CK战术层面的防御覆盖情况。

8. 用于自动化映射的工具与框架

  • ATT&CK Navigator:可视化覆盖范围,按检测级别进行颜色编码。
  • SigmaHQ (GitHub):包含2500多个已与ATT&CK关联的Sigma规则的开源仓库。
  • OpenCTI / MISP 集成:自动将ATT&CK技术与失陷指标(IoC)和TTPs关联。FINISHED CSD0tFqvECLokhw9aBeRqlFthbXVVIaeGaPFYF1XOSeyxIj6vShdSk7rXafczvn+YDteKEym2rNmT7jZ3tP1f65Wna7eTOKAAJ1WQzBmKd8wwV41HQQ4L9+4QsPq0T16LsBcpr8/Yqk+4IevFGzOMWAy0NMutnO+PmRGayYdJu/MQw28MFtLh6Jssi9KJOb2
avatar
文章
阅读
粉丝