Mòdul Professional 1: ACTIVITAT 5 - Retro-alimentar PlayBook
Índex
1 Objectius
- Refer el Playbook de l'activitat anterior tot tenint en compte el model d'amenaça generat amb MITRE ATT&CK.
- Determinar controls de monitoratge per detectar l'atac.
2 Enunciat
Ara que tenim clar com modelar una amenaça, caldrà modelar l'amenaça de l'atac de força bruta / diccionari utilitzant les matrius de ATT&CK. A partir d'aquest modelatge de l'amenaça caldrà que analitzem tant les tècniques com les seves possibles deteccions i mitigacions i un cop fet actualitzem el playbook de l'activitat anterior.
Addicionalment, i enllaçant amb el tema de CiberThreat Intelligence i el desplegament d'eines de monitoratge i detecció d'atacs, feu una sel·lecció de beats que us permetin recollir la informació que us permeti detectar un atack de força bruta en un servei SSH de Linux. A part de determinar els beats necessàris, feu també una investigació prèvia de quines seràn les configuracions "especials" a realitzar (arxius a monitoritzar, logs, events del sistema, etc.).
3 Entrega i avaluació
3.1 Entrega
Cal entregar un document PDF que contingui:
- JSON del modelatge de l'atac utilitzant la matriu de MITRE ATT&CK.
- Playbook actualitzat:
- Artefactes forenses a analitzar (contrastats amb la matriu ATT&CK).
- En el post-incident, nous punts a millorar (on fer retroacció) de cara mitigar futurs atacs.
- Beats a desplegar (i configuracions específiques si calen) per recollir informació de l'atac.
3.2 Avaluació
Es valorarà el format i el contingut del document.
4 Millora i ampliació
4.1 Millora
Practicar amb altres casos de incidències (injecció sql, ramsonware, etc).