La cybersécurité nécessite une évaluation rigoureuse des journaux de données.
Sans une telle évaluation, les équipes bleues peuvent manquer des menaces critiques.
Le Framework DeTT&CT offre une méthode efficace pour analyser et optimiser les journaux à l’aide du modèle MITRE ATT&CK.
Acquérez les compétences clés pour défendre votre organisation contre les cybermenaces.
Framework DeTT&CT : Introduction clé
Le Framework DeTT&CT, développé en open source par le Centre de Cyberdéfense de Rabobank, vise à relever un défi majeur en cybersécurité. Il se concentre sur les équipes bleues utilisant le modèle MITRE ATT&CK, offrant une solution pour évaluer et comparer la qualité des journaux de données, la visibilité et la détection.
Cela permet aux équipes bleues d’identifier rapidement les lacunes dans la couverture de détection ou de visibilité, les aidant à prioriser l’intégration de nouvelles sources de journaux pour renforcer leur posture de sécurité.
Installation DeTT&CT pour cybersécurité
L’installation de DeTT&CT peut se faire facilement, que ce soit en optant pour une installation locale. Si vous prévoyez de documenter la couverture de détection de votre organisation avec ATT&CK Navigator , il est vivement recommandé d’opter pour une installation locale de DeTT&CT .
Les étapes suivantes ont été effectuées sur une machine virtuelle Ubuntu
Pour installer DeTT&CT , exécutez les commandes suivantes :
En entrant en mode sudo avec la commande <sudo –s> entrer votre mot de pass root
Lancez une mise à jour en tapant <apt update>.
Définir la disposition du clavier en français avec la commande < setxkbmap fr>
Tout d’abord, nous allons cloner un dépôt Git situé à l’URL suivante à l’aide de la commande suivante : git clone https://github.com/rabobank-cdc/DeTTECT.git
Nous allons lister les fichiers et les répertoires dans le répertoire actuel avant d’afficher le contenu du fichier requirements avec les commandes suivantes :Haut du formulaire
- cd DeTTECT
- ls
- cat requirement
En tapant la commande < pip install -r requirements.txt> pour installer les dépendances d’un projet Python, par défaut, il ne sera pas installé sur votre machine. Cela signifie que vous devez l’installer avec la commande < apt install python3-pip> . Ensuite, vous pouvez réexécuter l’installation à l’aide de la première commande.
Une fois installé, vous pouvez soit utiliser l’interface de ligne de commande, soit lancer l’éditeur DeTT&CT .
Pour lancer DeTT&CT Editor , tapez la commande suivante :
python3 dettect.py editor
Comme vous pouvez le voir dans la dernière ligne, nous sommes désormais en mesure d’ouvrir l’éditeur DeTTECT via une URL et de commencer à interagir avec lui. Une fois que la page Web est affichée, notre première étape consiste à ajouter des sources de données. Cela nous permet de définir, pour DeTTECT , les journaux que nous capturons, afin de pouvoir évaluer qualitativement la visibilité que nous avons sur nos sources de journalisation.
Gérer Sources de Données avec DeTT&CT
- Accédez à DeTT&CT Editor , sélectionnez Data Sources et créez un new file .
Dans cette situation, nous souhaitons indiquer à DeTTECT comment les journaux sont collectés pour les points de terminaison Windows. Nous pouvons accomplir cela en sélectionnant l’option « Ajouter une source de données ». Cela nous permet de partager l’approche collective que nous adoptons pour gérer ces données importantes
Dans la continuité, nous définissons la source de données comme les journaux d’événements Windows. L’outil offre des options que vous pouvez sélectionner au fur et à mesure de la saisie. Ces choix correspondent aux sources de journalisation dans les matrices MITRE ATT&CK, comme évoqué précédemment.
En poursuivant, nous incorporons la date d’enregistrement et de connexion de la source de données, tout en déterminant sa disponibilité pour l’analyse des données et son état d’activation.
Maintenant, entrons dans la phase où nous explorons le contenu de vos données. Dans la section à venir, je détaille la qualité des données obtenues à partir de ma configuration de journalisation des événements Windows. Par exemple, il est possible que je ne capture que les journaux système Windows, ce qui pourrait réduire ma visibilité globale. Je modifie donc les paramètres en conséquence.
J’applique la même méthodologie à toutes mes sources de données, aboutissant à quelque chose qui ressemble à ce que vous pouvez voir ci-dessous.
Dans un environnement de production, la liste serait beaucoup plus longue, en supposant que vous disposez de plus que quelques sources de journalisation. Il est important de noter que la qualité et la couverture de la journalisation varient en fonction du système ou de l’outil évalué. Vous pouvez obtenir de nombreuses informations détaillées à partir d’un type de périphérique réseau, tandis qu’un autre fournit des informations de journalisation assez limitées. Assurez-vous de refléter cette différence dans les sources de données que vous ajoutez.
Une fois que toutes les sources de données de votre environnement sont ajoutées, cliquez sur « Save YAML file »
Convertir fichiers pour posture sécurité
Passons maintenant à l’étape suivante qui implique la conversion du fichier YAML en JSON afin qu’il puisse être utilisé dans l’outil ATT&CK Navigator . De retour dans la fenêtre du terminal sur ma VM Ubuntu, je procède à la conversion du fichier YAML en JSON.
Le résultat obtenu et présenté ci-dessous :
En accédant au chemin DeTTECT /, nous pouvons visualiser l’ensemble des sources de données en tapant simplement la petite commande en mode root : < sudo python3 dettect.py generic –ds> .
Maintenant, après avoir généré notre fichier qui se trouve dans le dossier « downloads », nous avons une petite source de données avec des détails. Ce que nous venons d’accomplir est la génération d’un fichier JSON que je viens d’utiliser sur le navigateur.
- Cd Downloads
- Ls
- Cat data_sources_num.json
Le résultat obtenu et présenté ci-dessous :
DeTT&CT et matrice MITRE ATT&CK
Vient maintenant la partie intéressante : observer comment les sources d’enregistrement de données de votre organisation s’alignent sur le framework ATT&CK . Cela offre un aperçu visuel du niveau de couverture et de visibilité potentiel sur les différentes techniques et tactiques utilisées par les adversaires.
Nous superposerons notre fichier data_sources_example_1. json (créé dans la section précédente) au-dessus du navigateur MITRE ATT&CK. Tout d’abord, explorons le navigateur MITRE ATT&CK , accessible ici : https://mitre-attack.github.io/attack-navigator/
Je sélectionne Open Existing Layer – – > Upload from Local , puis je navigue jusqu’à l’emplacement où j’ai enregistré mon fichier data_sources_num.json
Regardez la visualisation que j’obtiens ! Haut du formulaire
Alors, comment puis-je utiliser cela ? Considérez cela comme une carte thermique pour la couverture de journalisation. Les cases violettes les plus foncées reflètent les techniques sur lesquelles votre organisation aurait la plus grande visibilité, en fonction de la qualité des journaux d’attaque que vous ingérez dans Sentinel. Plus la boîte est légère, moins votre organisation aura de visibilité sur un attaquant utilisant cette technique, sur la base de la stratégie de journalisation actuelle.
Cela peut être un excellent moyen d’illustrer à la direction les lacunes de votre journalisation de sécurité, car il est très facile de comprendre le code couleur.
Alors, comment puis-je utiliser cela ? Considérez cela comme une carte thermique pour la couverture de journalisation. Les cases violettes les plus foncées reflètent les techniques sur lesquelles votre organisation aurait la plus grande visibilité, en fonction de la qualité des journaux d’attaque que vous ingérez dans Sentinel. Plus la boîte est légère, moins votre organisation aura de visibilité sur un attaquant utilisant cette technique, sur la base de la stratégie de journalisation actuelle.
Cela peut être un excellent moyen d’illustrer à la direction les lacunes de votre journalisation de sécurité, car il est très facile de comprendre le code couleur.
Formez-vous gratuitement avec Alphorm !
Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.
FAQ
Comment le Framework DeTT&CT améliore-t-il la cybersécurité ?
Quelles sont les étapes clés pour installer DeTT&CT ?
Comment gérer les sources de données avec DeTT&CT ?
Comment convertir un fichier YAML en JSON pour ATT&CK Navigator ?
Comment visualiser la couverture de journalisation avec ATT&CK Navigator ?
Conclusion
En adoptant le Framework DeTT&CT, vous pouvez considérablement améliorer votre posture de sécurité. Quelle autre stratégie pourrait compléter cette approche pour une protection encore plus robuste ?