Mòdul Professional 1: ACTIVITAT 5 - Retro-alimentar PlayBook

Índex

1 Objectius

  • Refer el Playbook de l'activitat anterior tot tenint en compte el model d'amenaça generat amb MITRE ATT&CK.
  • Determinar controls de monitoratge per detectar l'atac.

2 Enunciat

Ara que tenim clar com modelar una amenaça, caldrà modelar l'amenaça de l'atac de força bruta / diccionari utilitzant les matrius de ATT&CK. A partir d'aquest modelatge de l'amenaça caldrà que analitzem tant les tècniques com les seves possibles deteccions i mitigacions i un cop fet actualitzem el playbook de l'activitat anterior.

Addicionalment, i enllaçant amb el tema de CiberThreat Intelligence i el desplegament d'eines de monitoratge i detecció d'atacs, feu una sel·lecció de beats que us permetin recollir la informació que us permeti detectar un atack de força bruta en un servei SSH de Linux. A part de determinar els beats necessàris, feu també una investigació prèvia de quines seràn les configuracions "especials" a realitzar (arxius a monitoritzar, logs, events del sistema, etc.).

3 Entrega i avaluació

3.1 Entrega

Cal entregar un document PDF que contingui:

  • JSON del modelatge de l'atac utilitzant la matriu de MITRE ATT&CK.
  • Playbook actualitzat:
    • Artefactes forenses a analitzar (contrastats amb la matriu ATT&CK).
    • En el post-incident, nous punts a millorar (on fer retroacció) de cara mitigar futurs atacs.
  • Beats a desplegar (i configuracions específiques si calen) per recollir informació de l'atac.

3.2 Avaluació

Es valorarà el format i el contingut del document.

4 Millora i ampliació

4.1 Millora

Practicar amb altres casos de incidències (injecció sql, ramsonware, etc).

4.2 Ampliació

Data: 2021-07-29 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2022-02-21 dl. 13:42