先说重点：

    今天发这篇文章主要目的是欢迎广大搞防御（威胁情报、SOC、Threat Hunting、入侵检测/对抗、取证、安全架构、CERT、智库研究员等）的安全同行加入 ATT&CK中国社区技术交流 微信群，一起学习和交流。

注：如要加入 ATT&CK中国社区技术交流 微信群，需验证，加以下微信或公众号后台回复：公司+职位+姓名，验证通过后，邀请进群。

=========================================================

以下正文：

长期以来，MITRE ATT&CK®的老用户一直在努力将其组织对对手及其战术、技术和过程 (TTP) 的本地知识与公共ATT&CK知识库相结合。为此，威胁情报驱动防御中心（Center for Threat-Informed Defense）启动了一项研究项目，以大幅减少防御者的障碍，以确保他们的威胁情报与公共ATT&CK知识库保持一致。ATT&CK Workbench 是一个易于使用的开源工具，允许组织管理和扩展（问题一：如何扩展？）他们自己的 ATT&CK 本地版本，并使其与 ATT&CK 知识库保持同步（问题二：如何保持同步？）。

Workbench 允许用户探索、创建、注释和共享 ATT&CK 知识库的扩展。

通过 Workbench，可以使用新的或更新的技术、策略、缓解、组和软件来扩展这个本地知识库。

此外，Workbench 为用户提供了与更大的 ATT&CK 社区共享他们的扩展的方法，从而促进了社区内比当前工具可能实现的更高水平的协作。

ATT&CK Workbench适用于谁？

- ATT&CK 是否是贵组织安全运营的核心？

- 您是否主动使用 ATT&CK 跟踪威胁？

- 您是否将防御与 ATT&CK 保持一致？

- 您是否根据 ATT&CK 计划您的安全投资？

1.注释本地的 ATT&CK 副本

Workbench 使用户能够使用笔记功能注释他们的 ATT&CK 本地副本。注释（Notes）是在知识库中捕获有关对象的其他上下文的绝佳方式，可应用于矩阵、技术、策略、缓解、组和软件。最重要的是，随着您的知识库使用新的 ATT&CK 数据进行更新，Workbench 将保留您的笔记。

注释（Notes）的一些可能用途包括：

- 在组织内共享非正式知识（例如“这种缓解措施可能有助于保护我们免受 X 侵害”）

- 记录潜在的知识（例如“TO DO：验证威胁报告 X 中提到的是否实际上是这种技术”）

- 在开发工作流中实现协作（例如“审查数据源信息并制定计划以开始收集检测此技术所需的数据。”）

图1：为对象添加注释

2.扩展本地的 ATT&CK 副本

Workbench 的主要用途是能够创建新对象或使用新内容扩展现有对象。

矩阵、技术、策略、缓解措施、组和软件都可以创建和编辑。

这意味着您可以根据自己的需要创建知识库的扩展，甚至可以创建与 ATT&CK 术语一致且可与 ATT&CK 工具一起使用的全新数据集。（问题三：如何创建全新数据集？）

在 Workbench 中创建的数据可以无缝集成到现有的 ATT&CK 数据中，比如新的组或软件可以通过过程（TTP中的P）示例连接到现有的技术，或者可以在现有的 ATT&CK 技术下创建新的子技术。（问题四：如何建立联系？）

在本地知识库中创建或扩展 ATT&CK 数据可实现许多重要用例，例如：

- 创建红队技术，以便您可以像现有的 ATT&CK 技术一样跟踪它们

- 记录针对您的行业或组织但目前未被 ATT&CK 团队跟踪的组或软件

- 更新ATT&CK的数据，以反映ATT&CK团队无法访问的内部、专有或其他报告。

- 使用 ATT&CK 知识库范围之外的新技术和战术开发您自己的矩阵

图2：在Workbench中创建一个新组

为了促进团队协作，Workbench 包括一些功能，例如能够将对象标记为“正在进行中（work in progress）”、“等待评审（awaiting review）”或“已评审（reviewed）”，以及查看对象的历史，以确定何时和由谁作出更改。

3.打破孤岛 - 情报共享

随着团队扩展和注释他们的 ATT&CK 数据，Workbench 将使他们能够导入该数据的更新并提供有选择地共享他们的工作的选项。Workbench用户可以订阅ATT&CK的数据集合，并发布自己的数据。订阅允许用户在有更新时自动拉下更新，以保持与不断发展的知识库同步。

当一个集合被导入Workbench时，你可以准确地预览它所包含的内容以及这些内容与你的本地知识库的关系。

在各组织之间通过ATT&CK集合的方式共享ATT&CK的相关信息的好处：

- 通过实现自动导入和提供详细的变更历史，简化了在ATT&CK更新时与之保持同步的过程。

- 通过导入多个集合，允许用户将来自 ATT&CK 的最新信息与来自其他来源（威胁情报供应商、ISAC 和 ISAO 以及 ATT&CK 社区的其他成员）的情报扩展集成。

- 为ATT&CK的贡献建立结构和一致性

图3：连接到MITRE ATT&CK和其他ATT&CK数据提供商，同时分享你的ATT&CK扩展。

在发布Workbench的同时，ATT&CK还在GitHub上发布了代表当前和以往ATT&CK版本的官方集合（https://github.com/mitre-attack/attack-stix-data）。用户可以简单地订阅这些集合，并在新的ATT&CK版本发布后立即导入。

STIX 2.1中的ATT&CK

由于数据集是用STIX 2.1表示的，这也是ATT&CK数据首次在该版本的STIX规范中出现。由于许多社区工具仍然依赖于STIX 2.0，在可预见的未来，我们将同时维护STIX 2.1和STIX 2.0版本的数据集。然而，集合对象将只出现在STIX 2.1版本的数据集中。

4.集成中心

Workbench作为本地知识库的基石，支持与其他ATT&CK工具的一些整合。REST API提供了对知识库内容的可编程访问，允许ATT&CK开发的工具或第三方应用程序扩展本地知识库的功能，以符合你的使用情况。

最初的Workbench版本包括以下集成：

ATT&CK网站仓库（https://github.com/mitre-attack/attack-website）：通过ATT&CK网站查看你的知识库，并在网站上直接看到你在对象上创建的注释页面。我们希望ATT&CK网站的集成对那些想在熟悉的环境中看到自己的定制内容或使用网站的许多内置功能（如完整的ATT&CK矩阵、生成的Navigator图层等）的用户很有用。

ATT&CK Navigator仓库（https://github.com/mitre-attack/attack-navigator）：在ATT&CK Navigator中查看和注释你的新技术、战术和矩阵，并在矩阵视图中查看你在技术上创建的注释，就像它们是评论一样。这种整合允许用户根据ATT&CK数据集的定制扩展创建图层文件，使ATT&CK社区内开发的许多现有工作流程能够利用Navigator。

参考资料：

https://medium.com/mitre-engenuity/att-ck-workbench-a-tool-for-extending-att-ck-e1718cbfe0ef

原文始发于微信公众号（天御攻防实验室）：MITRE对企业自建ATT&CK威胁知识库的设想