{"id":27428,"date":"2022-03-22T08:56:08","date_gmt":"2022-03-22T07:56:08","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=27428"},"modified":"2022-06-15T15:57:40","modified_gmt":"2022-06-15T13:57:40","slug":"wie-mitre-attck-zur-auswahl-von-siem-use-cases-genutzt-werden-kann-teil-1-2","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-mitre-attck-zur-auswahl-von-siem-use-cases-genutzt-werden-kann-teil-1-2\/","title":{"rendered":"Wie MITRE ATT&#038;CK zur Auswahl von SIEM Use Cases genutzt werden kann"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-mitre-attck-zur-auswahl-von-siem-use-cases-genutzt-werden-kann-teil-1-2\/#Wie_kann_MITRE_ATT_CK_als_Basis_fuer_strategische_Cyber_Threat_Intelligence_genutzt_werden\" >Wie kann MITRE ATT&amp;CK als Basis f\u00fcr strategische Cyber Threat Intelligence genutzt werden?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-mitre-attck-zur-auswahl-von-siem-use-cases-genutzt-werden-kann-teil-1-2\/#Was_wollen_wir_eigentlich_mit_einem_SIEM-System_erreichen\" >Was wollen wir eigentlich mit einem SIEM-System erreichen?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-mitre-attck-zur-auswahl-von-siem-use-cases-genutzt-werden-kann-teil-1-2\/#Welche_MITRE_ATT_CK_Taktiken_sind_zu_betrachten_%E2%80%93_und_welche_auszuschliessen\" >Welche MITRE ATT&amp;CK Taktiken sind zu betrachten \u2013 und welche auszuschlie\u00dfen?<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-mitre-attck-zur-auswahl-von-siem-use-cases-genutzt-werden-kann-teil-1-2\/#Next_Step_Die_MITRE_ATT_CK_Techniken_nach_Haeufigkeit_sortieren\" >Next Step: Die MITRE ATT&amp;CK Techniken nach H\u00e4ufigkeit sortieren<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/wie-mitre-attck-zur-auswahl-von-siem-use-cases-genutzt-werden-kann-teil-1-2\/#Fazit_und_Fallstricke\" >Fazit und Fallstricke<\/a><\/li><\/ul><\/nav><\/div>\n<p>Diese Frage ist deshalb eine so gro\u00dfe Herausforderung, weil f\u00fcr eine seri\u00f6se Entscheidungsfindung eine \u00dcbersicht \u00fcber typische Angriffsszenarien, deren Funktion und Implikationen notwendig ist. Dieses Wissen baut sich bei den Mitarbeitern jedoch i.d.R. erst \u00fcber Jahre der Praxis auf und ist entsprechend genau das, was Unternehmen bei der ersten Auseinandersetzung mit dem Thema SIEM fehlt. Eine verbreitete Antwort auf die Frage, welche Angriffsszenarien es \u00fcberhaupt gibt, ist der Verweis auf MITRE ATT&amp;CK. In der MITRE ATT&amp;CK Matrix werden Ziele von Angreifern (\u201eTaktiken\u201c) und konkrete Aktionen zur Erreichung dieser Ziele (\u201eTechniken\u201c) beschrieben. Dieser Verweis ist jedoch in der Praxis erstmal wenig hilfreich, da das MITRE ATT&amp;CK Framework mittlerweile knapp 600 Techniken umfasst.<\/p>\n<p><strong>Wo vorher zu wenige Informationen vorhanden waren, sind nun durch MITRE ATT&amp;CK zu viele Informationen vorhanden, das Resultat bleibt jedoch das gleiche: Es fehlt ein konkreter Ansatzpunkt, der eine schnelle Priorisierung ohne monatelange Vorarbeit erlaubt.<\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Wie_kann_MITRE_ATT_CK_als_Basis_fuer_strategische_Cyber_Threat_Intelligence_genutzt_werden\"><\/span><strong>Wie kann MITRE ATT&amp;CK als Basis f\u00fcr strategische Cyber Threat Intelligence genutzt werden? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Unternehmen, die sich in dieser Situation befinden, hilft unser Tool attack_rate, indem es die MITRE ATT&amp;CK Threat Intelligence Daten verarbeitet und in einer einfach nutzbaren Form bereitstellt. Dazu verwenden wir die im STIX 2 Format bereitgestellte Datenbasis, welche MITRE im mitre\/cti (cti = <strong>C<\/strong>yber <strong>T<\/strong>hreat <strong>I<\/strong>ntelligence) bereitstellt. Zur genauen Erkl\u00e4rung der Funktion wird es einen separaten Blogbeitrag geben, mit einem deutlich technischeren Fokus.<\/p>\n<p>Der Output unseres Tools ist eine CSV Datei, welche die vorhandenen Informationen einfach nutzbar macht. Wer sich nicht die M\u00fche machen will, das Tool lokal zu nutzen, kann sich stets die aktuelle CSV Datei oder die etwas komfortablere XLSX Version aus unserem Github Repository laden.<\/p>\n<p>Der Begriff der Threat Intelligence ist doppeldeutig. Im Kontext von SIEM verstehen viele Techniker darunter reflexartig die Einbindung von Threat Feeds. Hier ist etwas anderes gemeint: Das Treffen strategischer Entscheidungen auf Basis eines gesicherten Datenbestandes.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Was_wollen_wir_eigentlich_mit_einem_SIEM-System_erreichen\"><\/span><strong>Was wollen wir eigentlich mit einem SIEM-System erreichen? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Zuerst sollten wir uns aber einmal darauf einigen, was man durch ein SIEM-System im besten Fall erreichen will. Die folgende Definition ist i.d.R. zustimmungsf\u00e4hig:<\/p>\n<ul>\n<li>Angreifer sollen m\u00f6glichst fr\u00fch im Angriffszyklus erkannt werden.<\/li>\n<li>Kosten und Nutzen sollten, gerade zu Beginn, in einem guten Verh\u00e4ltnis stehen.<\/li>\n<li>Angriffe sollten mit einer hohen Zuverl\u00e4ssigkeit erkannt werden, False-Positives gilt es zu vermeiden.<\/li>\n<\/ul>\n<p>Zwei Drittel der notwendigen Informationen lassen sich automatisiert mit attack_rate erfassen, f\u00fcr den letzten Arbeitsschritt ist dann zwar immer noch eine inhaltliche Auseinandersetzung n\u00f6tig, diese erfordert dann aber nur einige Tage Aufwand &#8211; anstelle von Monaten.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Welche_MITRE_ATT_CK_Taktiken_sind_zu_betrachten_%E2%80%93_und_welche_auszuschliessen\"><\/span><strong>Welche MITRE ATT&amp;CK Taktiken sind zu betrachten \u2013 und welche auszuschlie\u00dfen? <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Zuerst muss man sich fragen, welche Taktiken wir betrachten wollen. Hier gibt es n\u00e4mlich einige, die man gleich kategorisch ausschlie\u00dfen kann, weil eine sinnvolle Erkennung durch ein SIEM-System nicht m\u00f6glich, nicht sinnvoll, nur mit hohem Aufwand oder nur mit unzureichender Pr\u00e4zision machbar ist.<\/p>\n<p><em>Abb. 1: MITRE ATT&amp;CK Matrix in der Version 10 (Bild anklicken, um zur Originalgr\u00f6\u00dfe zu gelangen)<\/em><\/p>\n<div id='gallery-1' class='gallery galleryid-27428 gallery-columns-1 gallery-size-thumbnail'><figure class='gallery-item'>\n\t\t\t<div class='gallery-icon landscape'>\n\t\t\t\t<a href='https:\/\/testing.secuinfra.com\/wp-content\/uploads\/mitre.png'><img decoding=\"async\" width=\"150\" height=\"150\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/mitre-150x150.png\" class=\"attachment-thumbnail size-thumbnail\" alt=\"\" aria-describedby=\"gallery-1-27432\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mitre-150x150.png 150w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mitre-60x60.png 60w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/mitre-450x450.png 450w\" sizes=\"(max-width: 150px) 100vw, 150px\" \/><\/a>\n\t\t\t<\/div>\n\t\t\t\t<figcaption class='wp-caption-text gallery-caption' id='gallery-1-27432'>\n\t\t\t\t1. MITRE&#8217;s ATT&#038;CK Framework (klick to enlarge)\n\t\t\t\t<\/figcaption><\/figure>\n\t\t<\/div>\n\n<p>&nbsp;<\/p>\n<ul>\n<li>Die Taktiken <em>Reconnaissance<\/em> und <em>Resource Development<\/em> sind Teil der einstmals separierten PRE Matrix von MITRE, welche die Angriffsvorbereitung durch den Angreifer beschreibt. Es gibt hier zwar Mittel und Wege, eine Erkennung durch Cyber Deception Use Cases vorzunehmen, der Mehrwert einer solchen Erkennung ist jedoch, gerade wenn man noch am Anfang steht, eher fragw\u00fcrdig.<\/li>\n<li>Bei den Taktiken <em>Discovery<\/em> und <em>Collection<\/em> ist es i.d.R. schwer, einen Unterschied zwischen normalem Benutzerverhalten zu machen. Hier ist eine Umsetzung zwar theoretisch machbar, es bedarf jedoch einer genauen Analyse jeder Technik auf Kompatibilit\u00e4t mit der eigenen Umgebung. Aufgrund des relativ gro\u00dfen Aufwandes raten wir deshalb dazu, diese erstmal au\u00dfen vor zu lassen.<\/li>\n<li>Die Taktiken <em>Command &amp; Control<\/em> und <em>Exfiltration<\/em> sind mit den typischerweise zur Verf\u00fcgung stehenden Logquellen schwer zu erkennen. Da, wo etwas erkannt wird, ist die False-Positive Rate h\u00e4ufig hoch. Generell empfehlen wir hier den Einsatz von Tools wie Corelight oder Zeek, um eine h\u00f6here Datenqualit\u00e4t zu erreichen, die dann eine zuverl\u00e4ssigere Umsetzung von Use Cases erlaubt.<\/li>\n<li>Die Taktik <em>Impact<\/em> ist mit Use Cases oft gut adressierbar, doch braucht man i.d.R. kein SIEM-System, um zu bemerken, dass ein Angreifer alle Daten von einem Dateiserver gel\u00f6scht oder zentrale Dienste heruntergefahren hat. Von daher lassen wir diese Techniken erstmal au\u00dfen vor.<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"Next_Step_Die_MITRE_ATT_CK_Techniken_nach_Haeufigkeit_sortieren\"><\/span><strong>Next Step: Die MITRE ATT&amp;CK Techniken nach H\u00e4ufigkeit sortieren <\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nun gehen wir die \u00fcbrigen Taktiken durch und lassen uns die enthaltenen Techniken entsprechend der H\u00e4ufigkeit sortieren. Die Annahme dahinter: \u00a0Es ist am sinnvollsten, zuerst die Angriffsszenarien zu erkennen, deren Auftreten besonders h\u00e4ufig und damit auch in der eigenen Umgebung besonders wahrscheinlich ist.<\/p>\n<p>Die in der Tabelle enthaltenen Spalte \u201eGroups\u201c spiegelt die H\u00e4ufigkeit einer Technik grob wider. Grundlage hierf\u00fcr sind die in MITRE ATT&amp;CK referenzierten APT, welchen die Verwendung der jeweiligen Technik zugeschrieben wird.<\/p>\n<p>Diese Daten lassen sich auch in der webbasierten Version von MITRE ATT&amp;CK nachvollziehen. Sie finden sich im Bereich <em>Procedure Examples<\/em> und ihre ID beginnt mit G (f\u00fcr Group).<\/p>\n<p><em>Abb. 2: MITRE ATT&amp;CK Technik T1588.003: Kerberoasting (Bild anklicken, um zur Originalgr\u00f6\u00dfe zu gelangen)<\/em><\/p>\n\n<p>Es ist durchaus interessant, sich die Eintr\u00e4ge zu den einzelnen Gruppen einmal anzusehen, da sie neben der Datenbasis auch allgemeine Informationen zu der jeweiligen Gruppe, deren vermuteten Hintergr\u00fcnden und Zielen enth\u00e4lt.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-27437\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Unknown-2-279x300.jpeg\" alt=\"\" width=\"430\" height=\"462\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Unknown-2-279x300.jpeg 279w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Unknown-2-768x826.jpeg 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Unknown-2-22x24.jpeg 22w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Unknown-2-33x36.jpeg 33w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Unknown-2-45x48.jpeg 45w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Unknown-2.jpeg 908w\" sizes=\"(max-width: 430px) 100vw, 430px\" \/><\/p>\n<p><em>Abb. 3: Ausschnitt aus der Liste der gefilterten &amp; der H\u00e4ufigkeit nach sortierten MITRE ATT&amp;CK Techniken<\/em><\/p>\n<p>Aus den identifizierten Techniken k\u00f6nnen nun diejenigen ausgew\u00e4hlt werden, die am besten zur Umgebung passen und sich optimal mit einem SIEM-System erkennen lassen. Nicht alle MITRE ATT&amp;CK Techniken k\u00f6nnen mit einem SIEM-System oder \u00fcberhaupt sinnvoll erkannt werden. Entscheidend f\u00fcr eine Umsetzbarkeit sind zudem die lokalen Gegebenheiten, die h\u00e4ufig dar\u00fcber entscheiden, ob ein Use Case sinnvoll umgesetzt werden kann oder eine hohe False-Positive Rate aufweist.<\/p>\n<div class=\"fazit\"><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit_und_Fallstricke\"><\/span><strong>Fazit und Fallstricke<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Mit der dargelegten Vorgehensweise haben wir eine M\u00f6glichkeit geschaffen, die in MITRE ATT&amp;CK beschriebenen Techniken ohne gro\u00dfen Aufwand zu priorisieren &#8211; womit die folgende Einzelfallbetrachtung deutlich einfacher fallen wird.<\/p>\n<p>Wir sehen MITRE ATT&amp;CK als einen Einstiegspunkt, der dabei helfen soll, die Frage zu beantworten, welche Detektionsmechanismen zum Einstieg in die SIEM-Welt Sinn ergeben. Das bedeutet nicht, dass wir empfehlen, f\u00fcr jede identifizierte MITRE ATT&amp;CK Technik einen separaten SIEM Use Case zu entwickeln. Deshalb sollte man sich auch mit den Fragen besch\u00e4ftigen, wie sich der Scope von Use Cases am sinnvollsten aus MITRE ATT&amp;CK Techniken ableiten l\u00e4sst, wessen Interessen dabei zu ber\u00fccksichtigen sind und auf welche Standards man hier zur\u00fcckgreifen kann.<\/p>\n<p><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Im Zuge von SIEM-Einf\u00fchrungen besteht eine der gr\u00f6\u00dften Herausforderungen f\u00fcr Unternehmen darin, die Frage zu beantworten, welche Angriffsszenarien durch das SIEM-System erkannt werden sollen und wie diese Angriffsszenarien zu priorisieren sind.<\/p>\n","protected":false},"author":11,"featured_media":27429,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[100,67,66],"tags":[],"dpc_coauthors":[],"class_list":["post-27428","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-angriffserkennung","category-siem","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/27428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=27428"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/27428\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27429"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=27428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=27428"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=27428"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=27428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}