新兴技术介绍1.5 看懂mitre-engenuity

呵呵大神001

0.注意事项
此文部分参考kaspersky官方blog，并非全部原创
mitre-engenuity并不会给EDR软件排名，只会公布测试结果，mitre公司不认可厂商自己根据mitre测试结果的排名
也就是说厂商可以选择自己表现最好的领域狂吹自己领先同行
因此本人写此文是想帮助饭友客观对比各edr产品的表现，不要被厂商瞎忽悠走了
毕竟这种产品也要不少钱呢
1.mitre-engenuity是什么?
是mitre公司自己做的测试，mitre公司是发明ATT&CK框架的公司
mitre公司会使用各种测试方法（事件、组、恶意软件投放等），来测试EDR的性能
如果一个EDR能在测试中获得更好的mitre检测框架的覆盖程度
payload每一个恶意行为都可以正确的映射到ATT&CK框架
提供更多有关ATT&CK知识库的知识（如缓解措施，以及这个可疑行为的更多知识）
则可以认为这个EDR的性能是极好的
在测试期间，不允许安全产品在攻击的任何阶段采取任何预防/补救措施，所以纯测edr性能
2.让我们开始吧
（1）总体测评
首先需要选择一个企业的页面
https://attackevals.mitre-engenu ... rsary=carbanak_fin7
以微软为例子，下文同


选择测试轮数，这里选择的轮数决定了Results Graphs区域给出的图表是哪一轮的
这里比较推荐选最新的测试，可以更好的体现出EDR产品近期性能注：carbank+fin7要测两次，就是模拟两种不同的apt组织的攻击（但有人说carbank和fin7是一个组织，不重要）
向下拉找到Results Graphs区，我们从第一个操作杆图（可以理解为总成绩）开始分析。

左边是模拟carbank攻击的测试，右边是模拟fin7攻击的测试
mitre的测试是分步骤的，先看横坐标，最左边是先开始的测试，最右边是最后的测试
“无”和“遥测”是“最低”结果，以两种蓝色表示。“无”意味着产品根本没有注意到可疑行为，而“遥测”意味着收集了一些数据，但没有应用检测逻辑，并且事件没有被标记（恶意或其他）。所以，基本上，“遥测”不是真正的检测——只是一个事件日志。真正的检测由黄色和绿色阴影中的其他四个类别表示：“MSSP”、“General”、“Tactic”和“Technique”（这四个就是对可疑行为的分类，咱们可以不用管，注意，遥测和这四个检测是可以同时发生的）

在图表上仅显示“无”或“遥测”蓝色的步骤，和只有黄色没有对应的四个检测（一会会讲），我们可以称之为错过步骤- 没有进行真正检测的攻击阶段。
也就是说蓝色越少越好，在操作杆图中，你只需要关注蓝色
往下滑就可以找到分布检测场景图，可以理解为考试的“分数条”，可以看到各个步骤的检测情况

相信大家已经具备一定的EDR测评结果自主判断能力了
（2）对比测评
明天更新

Picca

payload每个恶意行为都必须正确的映射到ATT&CK框架，才会有得分。感觉这玩意在给业界定标准啊，会不会出现EDR拦截率很高，但是没有参考这个框架，得分很低的情况呢？

呵呵大神001

Picca 发表于 2022-2-26 20:58
payload每个恶意行为都必须正确的映射到ATT&CK框架，才会有得分。感觉这玩意在给业界定标准啊，会不 ...

有可能，Kaspersky就是

Picca

呵呵大神001 发表于 2022-2-27 11:14
有可能，Kaspersky就是

哈哈哈，怪不得attackevals.mitre-engenuity官网上没看到卡巴的图标，根本不参加

呵呵大神001

Picca 发表于 2022-2-27 12:24
哈哈哈，怪不得attackevals.mitre-engenuity官网上没看到卡巴的图标，根本不参加

Kaspersky参加了apt29
参加carbank+fin7时中途退出

Picca

呵呵大神001 发表于 2022-2-27 13:26
Kaspersky参加了apt29
参加carbank+fin7时中途退出

哦哦，看到了，看到了。

赶紧更新你的对比测评啊

呵呵大神001

Picca 发表于 2022-2-27 17:49
哦哦，看到了，看到了。

赶紧更新你的对比测评啊

暂时学业事比较多 抱歉哈
我尽快）