MITRE ATT&CK 是基于真实世界观察的对手战术和技术的知识库。ATT&CK 是开放的,任何人或组织都可以免费使用。您可以在下方找到一系列免费提供的 MITRE ATT&CK 工具和资源。
原文链接:https://www.helpnetsecurity.com/2022/12/05/top-10-free-mitre-attack-tools-resources/
电子书:ATT&CK 入门
这本免费电子书将有关威胁情报、检测和分析、对手模拟和红队以及评估和工程的博客文章的内容汇集到一个方便的包中。
![电子书:ATT&CK 入门 电子书](https://img2.helpnetsecurity.com/posts2022/mitre_attack_ebook.jpg)
![](https://img2.helpnetsecurity.com/posts/divider.gif)
CALDERA
CALDERA是一个网络安全平台,旨在轻松实现对手仿真的自动化、协助手动红队和自动化事件响应。它建立在 MITRE ATT&CK 框架之上,是 MITRE 的一个活跃研究项目。
该框架由两个组件组成:
- 核心系统。这是框架代码,由此存储库中可用的内容组成。其中包括一个带有REST API和 Web 界面的异步命令和控制 (C2) 服务器。
- 插件。这些存储库扩展了核心框架功能并提供了附加功能。示例包括代理、报告、TTP 集合等。
![破火山口 斜接攻击工具](https://img2.helpnetsecurity.com/posts2022/caldera.jpg)
![](https://img2.helpnetsecurity.com/posts/divider.gif)
白皮书:MITRE ATT&CK 映射的最佳实践
CISA 使用 ATT&CK 作为镜头来识别和分析对手的行为。CISA与国土安全系统工程与开发研究所 (HSSEDI) 共同创建了本指南,后者是国土安全部拥有的联邦资助研发中心 (FFRDC),与 MITRE ATT&CK 团队合作。
![白皮书:MITRE ATT&CK 映射的最佳实践 白皮书](https://img2.helpnetsecurity.com/posts2022/mitre-cisa.jpg)
![](https://img2.helpnetsecurity.com/posts/divider.gif)
级联CASCADE
CASCADE是 MITRE 的一个研究项目,旨在使“蓝队”团队执行的大部分调查工作自动化,以确定网络上使用主机数据的可疑行为的范围和恶意性。
原型 CASCADE 服务器能够处理用户身份验证、运行分析和执行调查。服务器对存储在 Splunk/ElasticSearch 中的数据运行分析以生成警报。警报触发递归调查过程,其中几个随后的查询收集相关事件。支持的事件关系包括父进程和子进程(进程树)、网络连接和文件活动。服务器自动生成这些事件的图表,显示它们之间的关系,并使用来自 ATT&CK 项目的信息标记图表。
![级联 斜接攻击工具](https://img2.helpnetsecurity.com/posts2022/mitre-cascade.jpg)
![](https://img2.helpnetsecurity.com/posts/divider.gif)
Metta
Metta是一种信息安全准备工具。该项目使用 Redis/Celery、Python 和 vagrant 与 VirtualBox 进行对抗模拟。这允许您测试基于主机的仪器,但也可能允许您测试任何基于网络的检测和控制,具体取决于您如何设置流浪者。该项目解析带有动作的 YAML 文件,并使用 Celery 将这些动作排队并一次运行一个,无需交互。
![慈心 斜接攻击工具](https://img2.helpnetsecurity.com/posts2022/metta.jpg)
![](https://img2.helpnetsecurity.com/posts/divider.gif)
Sandbox Scryer
Sandbox Scryer是一种开源工具,用于从公共沙箱引爆输出中生成威胁搜寻和情报数据。该工具利用 MITRE ATT&CK 框架来组织调查结果并确定其优先级,协助组装 IOC、了解攻击运动和寻找威胁。通过允许研究人员将数千个样本发送到沙箱以构建用于 ATT&CK 技术的配置文件,Sandbox Scryer 可以帮助解决大规模用例。
![沙盒占卜者 沙盒占卜者](https://img2.helpnetsecurity.com/posts2022/SandBox_Scryer.jpg)
![](https://img2.helpnetsecurity.com/posts/divider.gif)
白皮书:使用基于 ATT&CK 的分析发现网络威胁
本白皮书介绍了一种使用 MITRE ATT&CK 框架(一种基于行为的威胁模型)来识别相关防御传感器并使用对手仿真构建、测试和完善基于行为的分析检测功能的方法。该方法可用于通过防御差距分析、端点安全产品评估、针对特定环境构建和调整行为分析以及使用红队模拟已知对手行为对常见威胁模型进行防御验证来增强企业网络安全。
![白皮书:使用基于 ATT&CK 的分析发现网络威胁 白皮书](https://img2.helpnetsecurity.com/posts2022/mitre_attack_whitepaper.jpg)
![](https://img2.helpnetsecurity.com/posts/divider.gif)
原子红队(Atomic Red Team)
Atomic Red Team是映射到 MITRE ATT&CK 框架的测试库。安全团队可以使用 Atomic Red Team 来快速、可移植且可重复地测试他们的环境。您可以直接从命令行执行原子测试,无需安装。
![原子红队 斜接攻击工具](https://img2.helpnetsecurity.com/posts2022/redcanary-atomic.jpg)
![](https://img2.helpnetsecurity.com/posts/divider.gif)
Red Team Automation 红队自动化 (RTA)
RTA提供了一个脚本框架,旨在让蓝队测试他们针对恶意交易的检测能力,以 MITRE ATT&CK 为模型。
RTA 由生成 50 多种不同 ATT&CK 策略证据的 Python 脚本,以及根据需要执行文件时间停止、进程注入和信标模拟等活动的编译二进制应用程序组成。
![红队自动化 (RTA) 斜接攻击工具](https://img2.helpnetsecurity.com/posts2022/rta.jpg)
![](https://img2.helpnetsecurity.com/posts/divider.gif)
将 CVE 映射到 MITRE ATT&CK
Vulcan Cyber 的研究团队创建了这个网站来展示一个正在进行的项目,该项目将记录的 CVE 映射到 MITRE ATT&CK 矩阵中的相关策略和技术。您可以根据特定技术搜索 CVES,反之亦然。有关此项目的更多信息,请阅读相关的白皮书。
![将 CVE 映射到 MITRE ATT&CK 网站](https://img2.helpnetsecurity.com/posts2022/vulcan_cyber_mitre_cve.jpg)