MITRE ATT&CK
Objetivo Técnico
MITRE ATT&CK é uma base de conhecimento de táticas, técnicas e procedimentos observados em adversários reais. No portfólio, ela deve servir para classificar comportamento ofensivo e conectar evidência de pentest com hipóteses de detecção.
Checklist Operacional
- Identificar a intenção da ação: discovery, privilege escalation, credential access, lateral movement ou defense evasion.
- Mapear a técnica ATT&CK somente quando a evidência comprovar o comportamento.
- Registrar ID, nome da técnica, ativo, identidade usada, ferramenta e artefato produzido.
- Relacionar a técnica com log, evento, comando, processo ou alteração de configuração.
- Usar o mapeamento para orientar detecção e reteste, não para inflar severidade.
Exemplo de Mapeamento
terminal
Windows service abuse -> T1543.003 Create or Modify System Process: Windows Service
PowerShell execution -> T1059.001 Command and Scripting Interpreter: PowerShell
LSASS memory access -> T1003.001 OS Credential Dumping: LSASS Memory
DCSync -> T1003.006 OS Credential Dumping: DCSync
Remote execution over SMB/WinRM/RDP/WMI -> T1021 Remote Services
Account and group enumeration -> T1087 Account DiscoveryValidação e Evidência
- Inclua o ID ATT&CK junto do comando executado, log observado e resultado técnico.
- Evite mapear técnica apenas por nome de ferramenta: descreva o comportamento validado.
- Quando houver dúvida entre técnica e sub-técnica, use a técnica pai e explique a limitação.
- Em relatório, conecte ATT&CK com impacto real: privilégio, segredo acessado, host alcançado ou controle alterado.
Mitigação e Detecção
- Converter cada técnica validada em uma pergunta defensiva: qual telemetria deveria mostrar isso?
- Relacionar a técnica a eventos Windows, Sysmon, EDR, logs de identidade, rede ou aplicação.
- Usar D3FEND, OWASP e hardening de fabricante para transformar a técnica em controle de prevenção.
- Usar Sigma ou Atomic Red Team para medir cobertura quando houver ambiente de teste controlado.