Découvrez le Framework DeTT&CT pour la Cybersécurité

La cybersécurité nécessite une évaluation rigoureuse des journaux de données.

Sans une telle évaluation, les équipes bleues peuvent manquer des menaces critiques.

Le Framework DeTT&CT offre une méthode efficace pour analyser et optimiser les journaux à l’aide du modèle MITRE ATT&CK.

Table de matière

Framework DeTT&CT : Introduction clé Installation DeTT&CT pour cybersécurité Gérer Sources de Données avec DeTT&CT Convertir fichiers pour posture sécurité DeTT&CT et matrice MITRE ATT&CK FAQ Conclusion

Formation Techniques de Blue Teaming (1/2) : L'essentiel pour l'Analyste SOC

Acquérez les compétences clés pour défendre votre organisation contre les cybermenaces.

Framework DeTT&CT : Introduction clé

Le Framework DeTT&CT, développé en open source par le Centre de Cyberdéfense de Rabobank, vise à relever un défi majeur en cybersécurité. Il se concentre sur les équipes bleues utilisant le modèle MITRE ATT&CK, offrant une solution pour évaluer et comparer la qualité des journaux de données, la visibilité et la détection.

Cela permet aux équipes bleues d’identifier rapidement les lacunes dans la couverture de détection ou de visibilité, les aidant à prioriser l’intégration de nouvelles sources de journaux pour renforcer leur posture de sécurité.

Installation DeTT&CT pour cybersécurité

L’installation de DeTT&CT peut se faire facilement, que ce soit en optant pour une installation locale. Si vous prévoyez de documenter la couverture de détection de votre organisation avec ATT&CK Navigator , il est vivement recommandé d’opter pour une installation locale de DeTT&CT .

Les étapes suivantes ont été effectuées sur une machine virtuelle Ubuntu

Pour installer DeTT&CT , exécutez les commandes suivantes :

En entrant en mode sudo avec la commande <sudo –s> entrer votre mot de pass root

Lancez une mise à jour en tapant <apt update>.

Définir la disposition du clavier en français avec la commande < setxkbmap fr>

Tout d’abord, nous allons cloner un dépôt Git situé à l’URL suivante à l’aide de la commande suivante : git clone https://github.com/rabobank-cdc/DeTTECT.git

Nous allons lister les fichiers et les répertoires dans le répertoire actuel avant d’afficher le contenu du fichier requirements avec les commandes suivantes :Haut du formulaire

cd DeTTECT
ls
cat requirement

En tapant la commande < pip install -r requirements.txt> pour installer les dépendances d’un projet Python, par défaut, il ne sera pas installé sur votre machine. Cela signifie que vous devez l’installer avec la commande < apt install python3-pip> . Ensuite, vous pouvez réexécuter l’installation à l’aide de la première commande.

Une fois installé, vous pouvez soit utiliser l’interface de ligne de commande, soit lancer l’éditeur DeTT&CT .

Pour lancer DeTT&CT Editor , tapez la commande suivante :

python3 dettect.py editor

Comme vous pouvez le voir dans la dernière ligne, nous sommes désormais en mesure d’ouvrir l’éditeur DeTTECT via une URL et de commencer à interagir avec lui. Une fois que la page Web est affichée, notre première étape consiste à ajouter des sources de données. Cela nous permet de définir, pour DeTTECT , les journaux que nous capturons, afin de pouvoir évaluer qualitativement la visibilité que nous avons sur nos sources de journalisation.

Gérer Sources de Données avec DeTT&CT

Accédez à DeTT&CT Editor , sélectionnez Data Sources et créez un new file .

Dans cette situation, nous souhaitons indiquer à DeTTECT comment les journaux sont collectés pour les points de terminaison Windows. Nous pouvons accomplir cela en sélectionnant l’option « Ajouter une source de données ». Cela nous permet de partager l’approche collective que nous adoptons pour gérer ces données importantes

Dans la continuité, nous définissons la source de données comme les journaux d’événements Windows. L’outil offre des options que vous pouvez sélectionner au fur et à mesure de la saisie. Ces choix correspondent aux sources de journalisation dans les matrices MITRE ATT&CK, comme évoqué précédemment.

En poursuivant, nous incorporons la date d’enregistrement et de connexion de la source de données, tout en déterminant sa disponibilité pour l’analyse des données et son état d’activation.

Maintenant, entrons dans la phase où nous explorons le contenu de vos données. Dans la section à venir, je détaille la qualité des données obtenues à partir de ma configuration de journalisation des événements Windows. Par exemple, il est possible que je ne capture que les journaux système Windows, ce qui pourrait réduire ma visibilité globale. Je modifie donc les paramètres en conséquence.

J’applique la même méthodologie à toutes mes sources de données, aboutissant à quelque chose qui ressemble à ce que vous pouvez voir ci-dessous.

Dans un environnement de production, la liste serait beaucoup plus longue, en supposant que vous disposez de plus que quelques sources de journalisation. Il est important de noter que la qualité et la couverture de la journalisation varient en fonction du système ou de l’outil évalué. Vous pouvez obtenir de nombreuses informations détaillées à partir d’un type de périphérique réseau, tandis qu’un autre fournit des informations de journalisation assez limitées. Assurez-vous de refléter cette différence dans les sources de données que vous ajoutez.

Une fois que toutes les sources de données de votre environnement sont ajoutées, cliquez sur « Save YAML file »

Convertir fichiers pour posture sécurité

Passons maintenant à l’étape suivante qui implique la conversion du fichier YAML en JSON afin qu’il puisse être utilisé dans l’outil ATT&CK Navigator . De retour dans la fenêtre du terminal sur ma VM Ubuntu, je procède à la conversion du fichier YAML en JSON.

Le résultat obtenu et présenté ci-dessous :

En accédant au chemin DeTTECT /, nous pouvons visualiser l’ensemble des sources de données en tapant simplement la petite commande en mode root : < sudo python3 dettect.py generic –ds> .

Maintenant, après avoir généré notre fichier qui se trouve dans le dossier « downloads », nous avons une petite source de données avec des détails. Ce que nous venons d’accomplir est la génération d’un fichier JSON que je viens d’utiliser sur le navigateur.

Cd Downloads
Ls
Cat data_sources_num.json

Le résultat obtenu et présenté ci-dessous :

DeTT&CT et matrice MITRE ATT&CK

Vient maintenant la partie intéressante : observer comment les sources d’enregistrement de données de votre organisation s’alignent sur le framework ATT&CK . Cela offre un aperçu visuel du niveau de couverture et de visibilité potentiel sur les différentes techniques et tactiques utilisées par les adversaires.

Nous superposerons notre fichier data_sources_example_1. json (créé dans la section précédente) au-dessus du navigateur MITRE ATT&CK. Tout d’abord, explorons le navigateur MITRE ATT&CK , accessible ici : https://mitre-attack.github.io/attack-navigator/

Je sélectionne Open Existing Layer – – > Upload from Local , puis je navigue jusqu’à l’emplacement où j’ai enregistré mon fichier data_sources_num.json

Regardez la visualisation que j’obtiens ! Haut du formulaire

Alors, comment puis-je utiliser cela ? Considérez cela comme une carte thermique pour la couverture de journalisation. Les cases violettes les plus foncées reflètent les techniques sur lesquelles votre organisation aurait la plus grande visibilité, en fonction de la qualité des journaux d’attaque que vous ingérez dans Sentinel. Plus la boîte est légère, moins votre organisation aura de visibilité sur un attaquant utilisant cette technique, sur la base de la stratégie de journalisation actuelle.

Cela peut être un excellent moyen d’illustrer à la direction les lacunes de votre journalisation de sécurité, car il est très facile de comprendre le code couleur.

Formez-vous gratuitement avec Alphorm !

Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.

FAQ

Comment le Framework DeTT&CT améliore-t-il la cybersécurité ?

Le Framework DeTT&CT améliore la cybersécurité en permettant une évaluation précise de la qualité des journaux de données. Cela aide les équipes bleues à identifier les lacunes dans la couverture de détection en utilisant le modèle MITRE ATT&CK. En conséquence, elles peuvent prioriser l’intégration de nouvelles sources de journaux, renforçant ainsi leur posture de sécurité globale et leur capacité à détecter les menaces potentielles.

Quelles sont les étapes clés pour installer DeTT&CT ?

Pour installer DeTT&CT, commencez par configurer votre machine virtuelle Ubuntu. Ensuite, clonez le dépôt Git de DeTT&CT et installez les dépendances Python requises en utilisant ‘pip install -r requirements.txt’. Assurez-vous d’avoir Python et pip installés. Une fois ces étapes effectuées, vous pouvez lancer l’éditeur DeTT&CT avec ‘python3 dettect.py editor’, ce qui vous permettra de configurer et d’interagir avec l’interface de l’éditeur pour gérer vos sources de données.

Comment gérer les sources de données avec DeTT&CT ?

Pour gérer les sources de données avec DeTT&CT, accédez à l’éditeur DeTT&CT et sélectionnez ‘Data Sources’. Créez un nouveau fichier et ajoutez les journaux que vous capturez, tels que les journaux d’événements Windows. Indiquez comment ces journaux sont collectés et configurez la date d’enregistrement et de connexion de la source de données. Cette gestion vous permet d’évaluer qualitativement la visibilité sur vos sources de journalisation, facilitant ainsi une meilleure détection des menaces.

Comment convertir un fichier YAML en JSON pour ATT&CK Navigator ?

Pour convertir un fichier YAML en JSON, utilisez le terminal sur votre VM Ubuntu. Accédez au chemin DeTT&CT et exécutez la commande ‘sudo python3 dettect.py generic –ds’. Cela générera un fichier JSON à partir de votre fichier YAML, que vous pourrez ensuite utiliser dans le navigateur ATT&CK. Cette conversion est essentielle pour visualiser comment vos sources de données s’alignent sur le framework ATT&CK et pour évaluer votre couverture de sécurité.

Comment visualiser la couverture de journalisation avec ATT&CK Navigator ?

Pour visualiser la couverture de journalisation, utilisez ATT&CK Navigator. Chargez votre fichier JSON converti en sélectionnant ‘Open Existing Layer’ puis ‘Upload from Local’. Cela vous permettra de voir une carte thermique de votre couverture de journalisation. Les cases violettes plus foncées indiquent une meilleure visibilité sur les techniques d’attaque, tandis que les plus claires signalent des lacunes. Cette visualisation aide à identifier les zones à renforcer pour améliorer la sécurité globale.

Conclusion

En adoptant le Framework DeTT&CT, vous pouvez considérablement améliorer votre posture de sécurité. Quelle autre stratégie pourrait compléter cette approche pour une protection encore plus robuste ?