MITRE ATT&CK
Matrice et mapping
Cartographie des comportements adverses, sources de données, couverture de détection et ATT&CK Navigator.
Concepts
- Tactique : objectif de l'adversaire, par exemple Persistence.
- Technique : manière d'atteindre l'objectif, par exemple Scheduled Task/Job.
- Sous-technique : variante plus précise.
- Procédure : mise en œuvre observée par un acteur ou logiciel.
- Mitigation : mesure réduisant le risque.
- Détection : données et logique permettant d'observer le comportement.
Méthode de mapping
- décrire le comportement sans ATT&CK ;
- identifier l'objectif ;
- choisir la technique la plus spécifique soutenue par les preuves ;
- ne pas mapper sur le nom d'un outil seul ;
- documenter l'extrait de preuve ;
- indiquer le niveau de confiance.
Exemple
Observation : powershell.exe télécharge un script depuis une URL externe.
Mapping possible : T1059.001 PowerShell + T1105 Ingress Tool Transfer.
Preuves : Event 4688/Sysmon 1, proxy, fichier créé.
Erreurs courantes
- mapper trop de techniques ;
- confondre outil et comportement ;
- déduire une technique non observée ;
- utiliser une version obsolète de la matrice ;
- considérer ATT&CK comme une liste de conformité.
Conseil opérationnel
Le mapping doit améliorer le triage, la détection ou le reporting. S'il n'apporte aucune décision, il est probablement trop générique.