Gestión de Alertas
Técnicas, Tácticas y Procedimientos
Identifique y analice patrones de ataque utilizando el marco MITRE ATT&CK
Descripción General
La pestaña de Técnicas, Tácticas y Procedimientos (TTPs) permite a los analistas identificar, documentar y analizar los métodos utilizados por los atacantes. Basada en el marco MITRE ATT&CK, esta función proporciona un lenguaje común para describir el comportamiento de los adversarios y facilita la comprensión de las amenazas.
Marco MITRE ATT&CK
Estructura del Marco
- Tácticas: Objetivos tácticos del adversario (el “por qué”)
- Técnicas: Métodos utilizados para lograr objetivos (el “cómo”)
- Subtécnicas: Variaciones específicas de técnicas
- Procedimientos: Implementaciones específicas observadas
Matrices Disponibles
- Enterprise ATT&CK (Windows, macOS, Linux)
- Mobile ATT&CK (Android, iOS)
- ICS ATT&CK (Sistemas de Control Industrial)
- PRE-ATT&CK (Actividades previas al compromiso)
Visualización de TTPs
Vista de Matriz
- Representación visual de la matriz ATT&CK
- Técnicas destacadas relevantes para la alerta
- Navegación por tácticas y técnicas
- Indicadores de confianza
Vista de Lista
- Lista detallada de técnicas identificadas
- Información de detección
- Nivel de confianza
- Evidencia asociada
- Notas del analista
Vista de Cronología
- Secuencia temporal de técnicas detectadas
- Progresión del ataque
- Duración de cada fase
- Relación con observables
Gestión de TTPs
Identificación de Técnicas
Métodos para identificar TTPs:
- Detección automática basada en observables
- Sugerencias de IA basadas en contexto
- Selección manual por analistas
- Importación desde sistemas externos
Documentación de Evidencia
Para cada TTP identificada:
- Vincular observables como evidencia
- Documentar indicadores de comportamiento
- Añadir capturas de pantalla o registros
- Registrar notas de análisis
Niveles de Confianza
Clasificación de confianza en la identificación:
- Alta: Evidencia directa y clara
- Media: Indicios fuertes pero no concluyentes
- Baja: Posible pero con evidencia limitada
- Especulativa: Basada en patrones conocidos
Análisis de TTPs
Patrones de Ataque
- Identificación de cadenas de ataque
- Reconocimiento de campañas conocidas
- Comparación con ataques históricos
- Predicción de posibles próximos pasos
Atribución de Amenazas
- Comparación con grupos de amenazas conocidos
- Identificación de firmas de atacantes
- Análisis de similitud con campañas previas
- Evaluación de motivaciones y objetivos
Evaluación de Impacto
- Determinación de la gravedad del ataque
- Evaluación de la sofisticación
- Análisis de objetivos potenciales
- Estimación de daño potencial
Mitigación y Respuesta
Estrategias de Mitigación
- Recomendaciones específicas por técnica
- Controles de seguridad relevantes
- Acciones de remediación prioritarias
- Medidas preventivas
Detección Mejorada
- Creación de reglas de detección
- Mejora de capacidades de monitoreo
- Indicadores de compromiso derivados
- Alertas para técnicas relacionadas
Informes y Documentación
- Generación de informes de incidentes
- Documentación para equipos de respuesta
- Información para análisis de tendencias
- Datos para mejora de defensas
Mejores Prácticas
1. Identificación Precisa
- Basar identificaciones en evidencia sólida
- Documentar el razonamiento detrás de cada TTP
- Mantener niveles de confianza apropiados
- Revisar identificaciones con otros analistas
2. Análisis Contextual
- Considerar el contexto completo de la alerta
- Evaluar la relación entre diferentes TTPs
- Analizar la progresión temporal
- Relacionar con el entorno específico
3. Mejora Continua
- Actualizar conocimientos sobre nuevas técnicas
- Revisar y refinar análisis previos
- Compartir conocimientos con el equipo
- Mantenerse al día con actualizaciones del marco
4. Colaboración
- Compartir análisis con otros analistas
- Discutir casos complejos en equipo
- Contribuir a la inteligencia compartida
- Participar en comunidades de seguridad