一、介绍
MITRE ATT&CK是一个全球可访问的基于现实世界观察的对手战术和技术知识库,目前ATT&CK (v12)最新版本,2022年10月ATT&CK v12.版本更新了适用于企业、移动和 ICS 的技术、组和软件。ATT&CK v12中最大的变化是在用于ICS的ATT&CK中添加检测,并引入了活动。ATT&CK for Enterprise , 包含14种战术、191种技术、386种子技术、134个组织和680种软件,ATT&CK for Mobile测试版,此版本的 ATT&CK 企业版包含 14 种战术、193 种技术、401 种子技术、135 个组、14 个战役和 718 个软件。ATT&CK框架涵盖情报、渗透攻击、防御缓解等方法,使得安全运营不再局限于安全合规,而是面向实战化、体系化对抗。
ATT&CK知识图谱是一个通用的网络安全基础运营平台,命名为“白泽”,计划满足日常网络安全综合分析、ATP监测、攻击溯源等场景需求,同时解决在大规模复杂环境场景下遇到的稳定性和性能问题,打造国内首个大型安全知识图谱。
项目采用了Noe4J和Python Django结合架构,在知识抽取、数据聚合、标识建立、关系搭建、自然语言处理、模型预训练等技术,降低在分析过程的漏报与误报情况。目前集成了Red Team、kafka、netflow、log。
剧透部分页面:
二、应用场景
面向大中小企业,大企业可作为网络安全数据安全治理、攻击行为推理检验、攻击狩猎验证、EDR深度分析辅助产品,中小企业可以作为运营平台或APT监测产品,逐步支持网络安全监测、分析、预警、溯源、部分XDR(EDR使用开源wazuh集成)等能力。
三、特点
1.支持各类安全设备日志接入;
2. 支持安全设备、网络设备、终端、流量的数据聚合;
3. 各模块实现解耦,支持便捷增加计算引擎以及存储方式;
4. 支持数据与流量一致性校验,包括数据是否缺失,数据是否匹配;
5. 支持EDR和云数据深度分析;
6. 支持基于http请求获取各项指标
7. 支持整体架构多活模式
8. 支持定制化开发。
四、项目规划
1.优化整体容错性
2. 优化数据读写性能
3. 支持更多智能算法和模型
4. 支持更多计算引擎
5.优化流量行为深度分析
6.完善安全知识图谱语义训练库
7.优化Red Team狩猎与
五、开源时间
2022年10月30日
如约而至 不见不散
六、开源交流群
原文始发于微信公众号(安技汇):开源知识图谱的ATT&CK安全运营平台公告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论