MITRE D3FEND

Objetivo Técnico

MITRE D3FEND organiza contramedidas defensivas em um grafo técnico. Use D3FEND para sair do achado ofensivo e chegar em controles como hardening, isolamento, análise de arquivo, autenticação reforçada, monitoramento e contenção.

Checklist Operacional

1. Partir de uma técnica ATT&CK ou de uma falha validada no teste.
2. Selecionar contramedidas D3FEND que sejam aplicáveis ao ativo e à maturidade do ambiente.
3. Separar prevenção, endurecimento, detecção, resposta e recuperação.
4. Traduzir a contramedida para configuração verificável ou requisito de logging.
5. Definir evidência de reteste que prove que o controle ficou efetivo.

Exemplo de Uso

ATT&CK: T1021 Remote Services
Controle: segmentação administrativa, autenticação forte, restrição de logon remoto
Telemetria: logon type, host origem, conta, protocolo e horário
Reteste: conta sem necessidade operacional não consegue WinRM/RDP/SMB administrativo

ATT&CK: T1059.001 PowerShell
Controle: Script Block Logging, Constrained Language Mode, AppLocker ou WDAC
Telemetria: command line, script block, processo pai e destino de rede
Reteste: execução não autorizada é bloqueada ou alertada

Validação e Evidência

• Documente qual técnica ofensiva motivou a contramedida.
• Registre o controle recomendado em linguagem testável, não apenas como intenção genérica.
• Conecte a defesa ao ativo afetado: endpoint, domínio, aplicação, rede, identidade ou cloud.
• Inclua um critério de reteste objetivo para cada controle sugerido.

Mitigação e Detecção

• Use D3FEND para justificar controles de defesa em profundidade quando uma mitigação única não cobre o abuso.
• Combine D3FEND com OWASP para controles de aplicação e com baselines de fabricante para endpoints.
• Transforme contramedidas em backlog de detecção, hardening e revisão de arquitetura.