Maps adversary behaviors, security alerts, and detection rules to MITRE ATT&CK techniques/sub-techniques to quantify coverage and prioritize controls. Use for ATT&CK heatmaps, SIEM tagging, gap analysis with Navigator and Sigma.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
在以下情况下使用本技能:
Maps adversary behaviors, security alerts, and detection rules to MITRE ATT&CK techniques for coverage heatmaps, SIEM tagging, control prioritization, and gap analysis.
Maps adversary behaviors, security alerts, and detection rules to MITRE ATT&CK techniques for coverage heatmaps, SIEM tagging, and control prioritization.
Implements MITRE ATT&CK coverage mapping for SOC detection rules using Splunk/Sentinel exports and ATT&CK Navigator layers to identify gaps, score coverage, and prioritize rule development.
Share bugs, ideas, or general feedback.
在以下情况下使用本技能:
请勿使用本技能进行实时事件分类——ATT&CK 映射是一项分析活动,最好在检测后或威胁猎捕规划期间执行。
pip install mitreattack-python下载相关矩阵(Enterprise、Mobile、ICS)的最新 ATT&CK STIX 包:
curl -o enterprise-attack.json \
https://raw.githubusercontent.com/mitre/cti/master/enterprise-attack/enterprise-attack.json
使用 mitreattack-python 库以编程方式查询技术:
from mitreattack.stix20 import MitreAttackData
mitre = MitreAttackData("enterprise-attack.json")
techniques = mitre.get_techniques(remove_revoked_deprecated=True)
for t in techniques[:5]:
print(t["external_references"][0]["external_id"], t["name"])
对于每个 SIEM 规则或 Sigma 文件,分配 ATT&CK 技术 ID。Sigma 规则支持原生 ATT&CK 标记:
tags:
- attack.execution
- attack.t1059.001 # PowerShell
- attack.t1059.003 # Windows 命令行
创建覆盖矩阵:列出每个技术 ID 并标记为:已检测(告警触发)、已记录(数据存在但无告警)、盲点(无数据源)。
将覆盖缺口与针对您所在行业的对手组织进行交叉参考。使用 ATT&CK 组织数据:
groups = mitre.get_groups()
apt29 = mitre.get_object_by_attack_id("G0016", "groups")
apt29_techniques = mitre.get_techniques_used_by_group(apt29)
for t in apt29_techniques:
print(t["object"]["external_references"][0]["external_id"])
优先为高优先级威胁组织使用的技术添加检测,尤其是覆盖盲点处。
将覆盖评分导出为 ATT&CK Navigator JSON 层:
import json
layer = {
"name": "SOC 检测覆盖 Q1 2025",
"versions": {"attack": "14", "navigator": "4.9", "layer": "4.5"},
"domain": "enterprise-attack",
"techniques": [
{"techniqueID": "T1059.001", "score": 100, "comment": "Splunk 规则:PS_Encoded_Command"},
{"techniqueID": "T1071.001", "score": 50, "comment": "仅记录,无告警"},
{"techniqueID": "T1055", "score": 0, "comment": "无覆盖——盲点"}
],
"gradient": {"colors": ["#ff6666", "#ffe766", "#8ec843"], "minValue": 0, "maxValue": 100}
}
with open("coverage_layer.json", "w") as f:
json.dump(layer, f)
将层导入 ATT&CK Navigator(https://mitre-attack.github.io/attack-navigator/)进行可视化。
按战术类别(初始访问、执行、持久化等)汇总覆盖率,包含数量和百分比。根据对手组织使用频率提供风险排名的前 10 盲点技术列表。推荐添加数据源(例如"启用 PowerShell 脚本块日志记录以解决 12 个执行子技术缺口")。
| 术语 | 定义 |
|---|---|
| ATT&CK 技术 | 以 T 号码标识的特定对手方法(例如 T1059 = 命令和脚本解释器) |
| 子技术 | 技术的更细粒度变体(例如 T1059.001 = PowerShell,T1059.003 = Windows 命令行) |
| 战术 | ATT&CK 中的对手目标类别:初始访问、执行、持久化、权限提升、防御规避、凭据访问、发现、横向移动、收集、C&C、数据渗出、影响 |
| 数据源 | ATT&CK v10+ 组件,标识检测技术所需的遥测(例如进程创建、网络流量) |
| 覆盖评分 | 表示技术检测完整性的数值(0-100):0=盲点,50=仅记录,100=已告警 |
| MITRE D3FEND | 补充 ATT&CK 的防御对策本体——将防御技术映射到其缓解的攻击技术 |