TTP映射至MITRE ATT&CK与Sigma：将威胁情报转化为可落地的检测规则

1. 引言

网络威胁情报 (CTI) 只有在能够转化为可落地的防御措施时才有价值。实现CTI落地的最有效方法之一，是将观察到的攻击者行为 (TTPs) 映射到一个结构化的框架 (MITRE ATT&CK)，然后将这些相同的行为表示为Sigma检测规则，以便在SIEM平台中部署。

2. 关键概念回顾

• TTPs：战术、技术和程序；描述攻击者如何操作（例如，通过LSASS内存进行凭据转储）。
• MITRE ATT&CK：一个全球性的攻击者TTPs知识库，按战术（目标）和技术（方法）进行组织。
• Sigma：一种通用的、基于YAML的检测规则格式，可以转换为多种SIEM查询语言（例如，Splunk、ELK、Sentinel）。

3. 为什么要将TTPs映射到ATT&CK和Sigma？

1. 标准化 为CTI、蓝队和安全运营中心（SOC）提供了一种通用语言。“T1059技术”在全球范围内都指代同一件事。
2. 威胁覆盖范围追踪 映射有助于识别检测能力的空白。
3. 可落地的防御 ATT&CK告诉你要寻找什么，而Sigma则定义了在你的遥测数据中如何寻找它。
4. 威胁行为者关联 许多APT和恶意软件家族已有已知的ATT&CK映射，将新的观察结果与之关联可以快速进行归因和优先级排序。

4. 理解流程：从情报 → ATT&CK → Sigma

战役观察 (TTPs)

↓

MITRE ATT&CK 映射 (技术ID)

↓

检测逻辑 (Sigma规则)

↓

SIEM 平台实现 (Splunk, Sentinel, QRadar)

示例：

• 观察结果：“PowerShell被用来通过编码命令下载Payload”
• ATT&CK 映射：T1059.001 — 命令和脚本解释器：PowerShell
• Sigma 规则：检测带有 -EncodedCommand 参数的PowerShell进程启动
• SIEM 查询：自动转换为 Splunk/Elastic/KQL 查询语句

5. 分步映射流程

第1步：识别TTPs

从威胁情报、恶意软件分析或威胁狩猎观察开始。

示例（来自事件报告）：

攻击者使用 rundll32.exe 从临时目录执行了恶意DLL。

第2步：映射到ATT&CK

查找相关的ATT&CK技术：

• T1218.011 — 签名二进制代理执行：Rundll32
• 战术：防御规避 / 执行

第3步：识别可观测的数据点

哪些遥测数据/日志可以暴露此活动？

• 进程创建日志 (Sysmon ID 1)
• 命令行参数
• 文件路径 (%Temp%)
• 父子进程链

第4步：转换为Sigma

创建一个Sigma规则，在Windows事件日志中寻找上述特征。

title: 从临时文件夹执行的可疑Rundll32
id: 12345-cti-temp-rundll32
status: experimental
description: 检测位于临时目录中的DLL经由rundll32执行的情况
author: Ankit Chauhan
logsource:
  product: windows
  category: process_creation
detection:
  selection:
    Image|endswith: '\rundll32.exe'
    CommandLine|contains: '\Temp\'
  condition: selection
fields:
  - Image
  - CommandLine
falsepositives:
  - 合法的软件更新
level: high
tags:
  - attack.t1218.011
  - attack.execution

attack.t1218.011 标签直接将此Sigma规则与MITRE ATT&CK关联起来。

6. 真实案例 — PowerShell C2 信标

• 观察结果： 恶意软件执行了编码的PowerShell命令以连接到远程服务器。
• ATT&CK 技术：
  • T1059.001 — 命令和脚本解释器：PowerShell
  • T1071.001 — 应用层协议：Web协议
• 相关的Sigma规则：

title: PowerShell 编码命令执行
id: powershell-c2
description: 检测使用 EncodedCommand 开关的 PowerShell 命令行
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    Image|endswith: 'powershell.exe'
    CommandLine|contains: '-EncodedCommand'
  condition: selection
tags:
  - attack.t1059.001
  - attack.execution
level: high

7. 扩展映射 — 关联CTI活动

• 威胁行为者：FIN7
• 观察到的技术：
  • 鱼叉式钓鱼附件 → T1566.001
  • 通过PowerShell执行 → T1059.001
  • 凭据转储 (LSASS) → T1003.001
  • 通过HTTP外传数据 → T1041

现在，你可以：

• 在ATT&CK Navigator（攻击者知识库导航器）中映射这些技术（生成可视化热力图）。
• 使用为每项技术编写的Sigma规则来关联检测覆盖范围。
• 识别尚无检测逻辑的覆盖空白。

这有助于优先开发新的检测规则，或验证整个MITRE ATT&CK战术层面的防御覆盖情况。

8. 用于自动化映射的工具与框架

• ATT&CK Navigator：可视化覆盖范围，按检测级别进行颜色编码。
• SigmaHQ (GitHub)：包含2500多个已与ATT&CK关联的Sigma规则的开源仓库。
• OpenCTI / MISP 集成：自动将ATT&CK技术与失陷指标（IoC）和TTPs关联。FINISHED CSD0tFqvECLokhw9aBeRqlFthbXVVIaeGaPFYF1XOSeyxIj6vShdSk7rXafczvn+YDteKEym2rNmT7jZ3tP1f65Wna7eTOKAAJ1WQzBmKd8wwV41HQQ4L9+4QsPq0T16LsBcpr8/Yqk+4IevFGzOMWAy0NMutnO+PmRGayYdJu/MQw28MFtLh6Jssi9KJOb2