こんにちは。
技術本部のtakaです。
SumologicのCloud SIEM Enterpriseに存在するMITRE ATT&CK® Threat Coverage Explorerという機能はご存じでしょうか?
この機能は、Sumologic公式で公開されているルールや自社Sumologicテナント上で出てきているシグナルがMITRE ATT&CK® ThreatのどのTechniqueにあたるのかを可視化することが出来る機能となっています。
本記事では、MITRE ATT&CK® Threat Coverage Explorerについて紹介させていただきます。
MITRE ATT&CK® について
MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) とは、脆弱性情報データベースであるCVEの運用をしているMITRE社が、サイバー・キルチェーンの段階をより細かくしたTacticsとそれに紐づいた具体的な攻撃方法であるTequniqueをマリックス形式で表現したフレームワークです。
このフレームワークは、日本の内閣サイバーセキュリティセンター(NISC)の報告書など各国のサイバーセキュリティ関連の白書で活用されています。
ATT&CKフレームワークは、不定期もしくは4半期に一度アップデートされ、2024年4月23日に現在最新のバージョン15が公開されており、このバージョンについてSumologicでは勿論対応しています。
MITRE ATT&CK® Threat Coverage Explorerの機能
MITRE ATT&CK® Threat Coverage Explorer上の主な機能としては、以下の三つの観点からMITRE ATT&CK®のフレームワーク上どの程度カバーしているのかを確認することができます。
| 機能 | 説明 |
| Recent Activity | Sumologicお客様テナント上で発生したシグナルを MITRE ATT&CK®フレームワーク上で表示 |
| All Community Activity | Sumologic全テナント上で発生したシグナルを MITRE ATT&CK®フレームワーク上で表示 |
| Theoretical Coverage |
Sumologicが提供している全てのルールが MITRE ATT&CK®フレームワーク上どの程度カバーしているのかを表示 |
また、MITRE ATT&CK® Threat Coverage ExplorerでTeqniqueごとに色別表示されているものの意味は以下の通りです。
| Coverage Type | 表示(デフォルト設定) | 説明 |
| High | .jpg?width=93&height=93&name=%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%B7%E3%83%A7%E3%83%83%E3%83%88%202024-10-09%20161856%20(1).jpg) |
7個以上 |
| Midium | .jpg?width=93&height=93&name=%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%B7%E3%83%A7%E3%83%83%E3%83%88%202024-10-09%20160855%20(1).jpg) |
4個以上~7個未満 |
| Low | .jpg?width=93&height=93&name=%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%B7%E3%83%A7%E3%83%83%E3%83%88%202024-10-09%20160905%20(1).jpg) |
1個以上~4個未満 |
| None | .jpg?width=93&height=93&name=%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%B7%E3%83%A7%E3%83%83%E3%83%88%202024-10-09%20160923%20(1).jpg) |
0個 |
| Not detectable | .jpg?width=93&height=93&name=%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%B7%E3%83%A7%E3%83%83%E3%83%88%202024-10-09%20162408%20(1).jpg) |
SIEM製品上、ログには表れないTequniqueを検出不能としている |
| Filter not applied | .jpg?width=93&height=93&name=%E3%82%B9%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%B7%E3%83%A7%E3%83%83%E3%83%88%202024-10-09%20162447%20(1).jpg) |
フィルターが適用されていない状態 |
※以下の表にあるHighからNoneは、Recent ActivityおよびAll Community Activityの場合にはシグナル数、Theoretical Coverageの場合にはルール数を指しています。
参照方法
クラシックUIの場合
1. ナビゲーションパネルからCloud SIEM Enterpriseをクリック
2. 上側のContentからMITRE ATT&CK® Threat Coverage をクリック
新UIの場合
新UIでは、左側のナビゲーションパネルがCloud SIEM上でも表示されるようになったことで、Observability 機能(アラートの設定、ログ検索など)と簡単に行き来することが出来るようになりました。
1. ナビゲーションパネルからCloud SIEM >MITRE ATT&CK® Coverageをクリック
パフォーマンス向上は勿論、SumologicのURLがステートフルになるよう変更されたことで簡単にクエリやダッシュボードを共有できたりなど改良が施されています。
新UIについてご興味がありましたら、『こちら』のSumologic公式での新UI紹介ガイドをご確認ください。
ユーザカスタムルール適用方法
ユーザがカスタムしたルールについても、MITRE ATT&CK®Threat Coverage ExplorerのRecent Activityに表示させたい場合は、ルールに対してタグをつける必要があります。
以下では、新しいルール作成時にTacticsの一つであるT1098 - Account Manipulationをタグとして設定する例を記載しています。
1. 上側のContentからRules をクリック
2. Create をクリック
3. 下側にあるWith tagsの入力部分でタグを設定
Teqniqueは勿論、攻撃者のより具体的な攻撃方法であるSub-Teqniqueについても、タグとしてつけられます。
活用方法
MITRE ATT&CK® Threat Coverage Explorerを活用する方法として、Recent ActivityとTheoretical Coverageを簡単に比較する方法についてご紹介します。
この比較方法では、Sumologicから出力された二つのJSONファイルを利用した方法のご紹介ですが、他製品ATT&CK®フレームワークを出力できる場合、こちらとも比較が可能です。
1. MITRE ATT&CK® Threat Coverage Explorer画面右上のExportをクリックし、Recent Activity、Theoretical CoverageそれぞれのJSONファイルを取得
2. 以下のURLをクリック後、Open Existing Layerをクリックし、
Upload from localからRecent ActivityのJSONファイルをアップロード
https://mitre-attack.github.io/attack-navigator/
3. +をクリックし新しいタブを作成し、2.同様にTheoretical CoverageのJSONファイルをアップロード
4. Layer Controlsをクリック後、歯車マークをクリックし、DomainとVersionを確認
5. +ボタンをクリックし新しいタブを作成後、Create Layer from Other Layers上で
4.で確認したDomainとVersionをdomainに入力
6.
上記の条件文を入力することで、Recent Activityには出てこず、All Community ActivityRecent Activityには出てきているTequniqueの表示が可能です。
7. Create layerをクリック
8. Recent ActivityとTheoretical Coverageの比較結果の確認
最後に
今回、MITRE ATT&CK® Threat Coverage Explorerとその機能について解説しました。
今回ご紹介した機能は勿論、それ以外でも、何かSumologicについてご不明点等ございましたらお気軽に弊社へお問い合わせください。
最後までお付き合いいただきありがとうございました。
