บทนำ
ATT&CK Capabilities Map ใน Athena NDR นำเสนอภาพสถานะความปลอดภัยของเครือข่ายภายในโดยอ้างอิงโครงสร้าง MITRE ATT&CK Framework ทำให้วิศวกรด้านความปลอดภัยสามารถเห็นภาพรวมว่าภัยคุกคามที่ตรวจพบตกอยู่ในระยะใดของการโจมตี (Kill Chain) และเทคนิคใดที่เครื่องมือของ Athena NDR ครอบคลุมหรือยังไม่ครอบคลุม ข้อมูลนี้ช่วยในการประเมินความสามารถในการตรวจจับ (Detection Coverage) และการวางแผนปรับปรุงนโยบายด้านความปลอดภัย
ข้อกำหนดเบื้องต้น
- Athena NDR v3.0.98 ขึ้นไป และมี Athena STA (Sensor) ส่ง log เข้าระบบเรียบร้อย
- License พื้นฐานของ Athena NDR ต้องอยู่ในสถานะ Licensed
- บัญชีผู้ดูแลระบบที่มีสิทธิ์เข้าถึงเมนู Home และ Detection
การเข้าถึงและการอ่านแผนที่
- ล็อกอินเข้า Web Console ของ Athena NDR
- ไปที่ Home > ATT&CK Capabilities ระบบจะแสดงกริดแบ่งคอลัมน์ตามขั้นของ ATT&CK ประกอบด้วย Reconnaissance, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command & Control, Exfiltration และ Impact
- ปรับช่วงเวลาของข้อมูลได้โดยคลิกไอคอน Settings ที่มุมขวาบน แล้วเลือก Last 24 hours, Last 7 days หรือ Last 30 days (ค่าเริ่มต้นคือ 24 ชั่วโมงล่าสุด)
- อ่านสีของเซลล์ในแผนที่ดังนี้
- เซลล์สีฟ้าเข้ม หมายถึงเทคนิคการตรวจจับที่ถูก hit (พบพฤติกรรมที่ตรงกับเทคนิคนั้นในเครือข่ายจริง)
- เซลล์สีขาวที่มีชื่อเทคนิค หมายถึง Athena NDR มีความสามารถในการตรวจจับแต่ยังไม่พบการ hit
- เซลล์ว่าง หมายถึงยังไม่มีเทคนิคตรวจจับสำหรับจุดนั้น
การเจาะดูรายละเอียด (Drill-down)
- คลิกที่เซลล์ของเทคนิคใดเทคนิคหนึ่ง แผงรายละเอียดจะเปิดทางขวามือ แสดงข้อมูลของ Detection Engine ที่เกี่ยวข้อง ได้แก่ Rule Engine, Threat Intelligence Engine, File Analytics Engine, Attack Analytics Engine และ Abnormal Behavior Analytics Engine
- ตัวเลขสีน้ำเงินคือจำนวนกฎที่มีการตั้งค่าไว้ ตัวเลขสีม่วงคือจำนวนกฎที่ถูก hit ปัจจุบัน
- คลิกที่ตัวเลขเพื่อเข้าสู่หน้า System > Security Capabilities > Detection Engine เพื่อดูหรือปรับแต่งกฎที่เกี่ยวข้อง
- หากต้องการดู Hacker Organizations หรือเหตุการณ์โจมตีที่รู้จัก (APT28, APT32, DarkVishnya, Kinsing ฯลฯ) สามารถเลือกจากแถบด้านบนของแผนที่
หมายเหตุ
- การกระจายสีและเทคนิคใน ATT&CK Map จะเปลี่ยนแปลงไปตามระยะเวลา deploy, การอัปเดตของ Security Database และปริมาณ traffic ที่ผ่าน Athena STA
- ATT&CK Map และ Security Alert เป็นสองโมดูลอิสระ ไม่มี dependency ต่อกัน แต่กฎส่วนใหญ่จะมี tag ทั้งในมิติ ATT&CK และมิติ Security Alert
- ใช้ข้อมูลจาก ATT&CK Map เป็นพื้นฐานในการประเมิน detection coverage และวางแผนเพิ่มกฎหรือเปิดใช้งาน engine ที่ยังไม่ active
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น