(CZE) Custom methodology for DEM and ADS with ACD elements use

Custom detection engineering framework

Cílem našeho custom framework (metodologie) je usnadit správu dokumentace a kritických požadavků pro efektivní funkci detekce (detection engineering).

Problém nedostatečné dokumentace:

Dobrá dokumentace poskytuje kvalitní vhled do nastavení detekce a definuje kritéria pro false positives.
Špatná, vágní dokumentace nebo nekvalitně dokumentovaný framework má za následek zahlcení monitorovacích mechanizmů alerty.

Detection engineering methodology (DEM)

Detection engineering methodology (DEM) poskytuje jednoduchý návod, jak přistoupit k vytvoření efektivního systému detekce. Jednotlivé kroky lze pak jednoduše namapovat s

Alerting and Detection Strategy (ADS).

Kroky (v ENG):

Select Target Technique
1. AND/OR subtechnique per MITRE ATT&CK
Research Underlying Technology
1. Get initial info from ATT&CK – TTP description, links, other resources
2. Choke points
3. Process deyails, operators
Proof of Concept Malware Sample(s)
1. Get sample, tools or script etc.
2. Run PoC simulation
Identify Data Sources
1. Consult MITRE website for data sources
2. Create data model
Build the Detection
1. Final detection data model
2. Identify event ID
3. Specify target process
4. Pivoting to investigation

Alerting and Detection Strategy (ADS)

Koncept Alerting and Detection Strategy (ADS) byl zveřejněn společností Palantir v roce 2017 a jeho originál je možné nalézt Read more..

Na základě Palantir rámec ADS „nám pomáhá vytvářet hypotézy, testovat a spravovat nové ADS“.

Původní rámec ADS od Palantir obsahuje následující části (v ENG):

Goal
Categorization
Strategy Abstract
Technical Context
Blind Spots and Assumptions
False Positives
Validation
Priority
Response
Additional Resources

Custom ADS Framework s přidanými částmi od DCG420:

Goal
Categorization
Strategy Abstract
Technical Context
Blind Spots and Assumptions
False Positives
Validation
Priority
Response
Additional Resources
The detection rule (SIGMA, Generic rule)
ACD elements use for Blind spots

Pro lepší dokumentaci ADS jsme přidali části pro:

The detection rule (SIGMA rules, Generic rules) – pro co největší přenositelnost pravidel jsme zvolili SIGMA universal format, který je poskytuje jednoduchou konverzi do jazyka pro SIEM, který se nachází v prostředí obránce.
ACD elements use for Blind spots – ACD elementy odpovídají Engage ID dle MITRE Engage.

Praktickému využití této custom metodologie se budeme věnovat v dalších článcích.

Zdroje:

https://blog.palantir.com/alerting-and-detection-strategy-framework-52dc33722df2

https://engage.mitre.org

https://attack.mitre.org

https://github.com/SigmaHQ/sigma

Search