Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://thehackernews.com/2022/11/threat-hunting-with-mitre-att-and-wazuh.html
Fonte: https://thehackernews.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #caça #às #ameaças #com #mitre #att&ck #e #wazuh
A caça a ameaças é o processo de procurar atividades maliciosas e seus artefatos em um sistema de computador ou rede. A caça às ameaças é realizada de forma intermitente em um ambiente, independentemente de as ameaças terem sido descobertas ou não por soluções de segurança automatizadas. Alguns atores de ameaças podem permanecer inativos na infraestrutura de uma organização, estendendo seu acesso enquanto aguardam a oportunidade certa para explorar os pontos fracos descobertos.
Portanto, é importante realizar a caça às ameaças para identificar agentes mal-intencionados em um ambiente e interrompê-los antes que atinjam seu objetivo final.
Para executar a caça de ameaças com eficiência, o caçador de ameaças deve ter uma abordagem sistemática para emular o possível comportamento do adversário. Esse comportamento adversário determina quais artefatos podem ser pesquisados para indicar atividade maliciosa em andamento ou passada.
MITRE ATT&CK
Ao longo dos anos, a comunidade de segurança observou que os agentes de ameaças costumam usar muitas táticas, técnicas e procedimentos (TTPs) para se infiltrar e girar em redes, elevar privilégios e exfiltrar dados confidenciais. Isso levou ao desenvolvimento de várias estruturas para mapear as atividades e métodos dos agentes de ameaças. Um exemplo é a estrutura MITRE ATT&CK.
MITRE ATT&CK é um acrônimo que significa MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). É uma base de conhecimento bem documentada de ações e comportamentos de agentes de ameaças do mundo real. A estrutura MITRE ATT&CK possui 14 táticas e muitas técnicas que identificam ou indicam um ataque em andamento. MITRE usa IDs para referenciar a tática ou técnica empregada por um adversário.
A plataforma XDR e SIEM unificada Wazuh
Wazuh é uma plataforma XDR e SIEM unificada de código aberto. A solução Wazuh é composta por um único agente universal implantado em endpoints monitorados para detecção de ameaças e resposta automatizada. Ele também possui componentes centrais (servidor Wazuh, indexador e painel) que analisam e visualizam os dados de eventos de segurança coletados pelo agente Wazuh. Ele protege as cargas de trabalho locais e na nuvem.
Figura 1: painel de eventos de segurança do Wazuh
Caçando ameaças com Wazuh
Os caçadores de ameaças usam várias ferramentas, processos e métodos para procurar artefatos maliciosos em um ambiente. Isso inclui, mas não está limitado ao uso de ferramentas para monitoramento de segurança, monitoramento de integridade de arquivo e avaliação de configuração de terminal.
Wazuh oferece recursos robustos como monitoramento de integridade de arquivo, avaliação de configuração de segurança, detecção de ameaças, resposta automatizada a ameaças e integração com soluções que fornecem feeds de inteligência de ameaças.
Módulo Wazuh MITRE ATT&CK
O Wazuh vem com o módulo MITRE ATT&CK pronto para uso e regras de detecção de ameaças mapeadas em relação aos IDs de técnica MITRE correspondentes. Este módulo tem quatro componentes que são:
uma. O componente de inteligência do módulo Wazuh MITRE ATT&CK: contém informações detalhadas sobre grupos de ameaças, mitigação, software, táticas e técnicas usadas em ataques cibernéticos. Esse componente ajuda os caçadores de ameaças a identificar e classificar diferentes TTPs usados pelos adversários.
Figura 2: Wazuh MITRE ATT&CK Intelligence
b. O componente de estrutura do módulo Wazuh MITRE ATT&CK: Ajuda os caçadores de ameaças a restringir ameaças ou endpoints comprometidos. Este componente usa técnicas específicas para ver todos os eventos relacionados a essa técnica e os endpoints onde esses eventos ocorreram.
Figura 3: estrutura Wazuh MITRE ATT&CK
c. O componente do painel do módulo MITRE ATT&CK: Ajuda a resumir todos os eventos em gráficos para ajudar os caçadores de ameaças a ter uma visão geral rápida das atividades relacionadas ao MITRE em uma infraestrutura.
Figura 4: painel Wazuh MITRE ATT&CK
d. O componente de eventos Wazuh MITRE ATT&CK: Exibe os eventos em tempo real, com seus respectivos MITRE IDs, para entender melhor cada alerta relatado.
Figura 5: Eventos Wazuh MITRE ATT&CK
Regras e decodificadores Wazuh
O Wazuh possui regras e decodificadores prontos para uso para analisar dados de segurança e tempo de execução gerados de diferentes fontes. O Wazuh suporta regras para diferentes tecnologias (por exemplo, Docker, CISCO, Microsoft Exchange), que foram mapeadas para seus IDs MITRE apropriados. Os usuários também podem criar regras e decodificadores personalizados e mapear cada regra com sua tática ou técnica MITRE apropriada. Esta postagem de blog mostra um exemplo de aproveitamento das regras personalizadas MITRE ATT&CK e Wazuh para detectar um adversário.
Módulo de avaliação de configuração de segurança (SCA)
O módulo Wazuh SCA executa varreduras periódicas em terminais para detectar configurações incorretas do sistema e do aplicativo. Ele também pode ser usado para verificar indicadores de comprometimento, como arquivos e pastas maliciosos criados por malware. A análise de inventários de software, serviços, configurações incorretas e alterações na configuração de um endpoint pode ajudar os caçadores de ameaças a detectar ataques em andamento.
Figura 6: Painel do Wazuh SCA
Integração com soluções de inteligência de ameaças
Devido à sua natureza de código aberto, o Wazuh oferece uma oportunidade de integração com APIs de inteligência de ameaças e outras soluções de segurança. O Wazuh se integra a plataformas de inteligência de ameaças de código aberto, como Virustotal, URLHaus, MISP e AbuseIPDB, para citar algumas. Dependendo da integração, alertas relevantes aparecem no painel do Wazuh. Informações específicas, como endereços IP, hashes de arquivos e URLs, podem ser consultadas usando filtros no painel do Wazuh.
Monitoramento da integridade do arquivo
O monitoramento de integridade de arquivo (FIM) é usado para monitorar e auditar arquivos e pastas confidenciais em terminais. O Wazuh fornece um módulo FIM que monitora e detecta alterações em diretórios ou arquivos especificados no sistema de arquivos de um endpoint. O módulo FIM também pode detectar quando os arquivos introduzidos nos endpoints correspondem a hashes de malware conhecido.
arquivos Wazuh
Os arquivos Wazuh podem ser ativados para coletar e armazenar todos os eventos de segurança ingeridos de endpoints monitorados. Esse recurso auxilia os caçadores de ameaças, fornecendo-lhes dados que podem ser usados para criar regras de detecção e ficar à frente dos agentes de ameaças. Os arquivos Wazuh também são úteis para atender à conformidade regulamentar onde o histórico de log de auditoria é necessário.
Conclusão
A estrutura MITRE ATT&CK ajuda a classificar e identificar adequadamente as ameaças de acordo com os TTPs descobertos. O Wazuh usa seus componentes MITRE ATT&CK dedicados para exibir informações sobre como os dados de segurança dos terminais correspondem aos TTPs. Os recursos de caça a ameaças do Wazuh ajudam os analistas de segurança cibernética a detectar ataques cibernéticos aparentes, bem como comprometimentos subjacentes à infraestrutura.
Wazuh é uma plataforma gratuita e de código aberto que pode ser usada por organizações com nuvem e infraestrutura local. Wazuh tem uma das comunidades de código aberto que mais cresce no mundo, onde aprendizado, discussões e suporte são oferecidos a custo zero. Confira esta documentação para começar a usar o Wazuh.
Postar um comentário