8
7

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

MITRE ATT&CK Defender(MAD)を受けてみた【Fundamentals編】

Last updated at Posted at 2021-09-21

MITRE ATT&CK DefenderのCertificationを取得した話
こちらの記事を読んでからずっと気になっていたので、まずは Fundamentals のトレーニングと Certification(ATT&CK Fundamentals Badge)を受けてみた。

本記事は MITRE ATT&CK とは何かをおおよそ知っていることを前提にしていますので、MITRE ATT&CK Defender (MAD) については以下を参照ください。(詳細は割愛mm
https://mitre-engenuity.org/mad/

Intro

2021/09/20 時点では、先のブログから状況は変わらず以下の 3 つのトレーニング(英語)が提供されています。後述のお布施分の利益があるかは不明ですが、トレーニングは無料で受けることができるので学びの点ではお勧めです。

  • ATT&CK Fundamentals
  • ATT&CK Cyber Threat Intelligence
  • ATT&CK SOC Assessments
    MAD2.PNG

Certification の取得のためには年間 299USD が必要となります(お布施...)。
MAD1.PNG
2021/09/20 時点で(も)認定は以下の 2 つで、サブスクリプションを申し込んだ上で、いくつかのオンライン試験をうけて Badge を取得取得することで認定されます(Ver. 3.7)。

ATT&CK Cyber Threat Intelligence
The ATT&CK Cyber Threat Intelligence (CTI) Certification is for practitioners interested in certifying a mastery in the application of ATT&CK to improve existing threat intelligence practices. The training and experiential assessments validate a learner’s ability to map to ATT&CK from both finished reporting and raw data, perform CTI analysis using ATT&CK-mapped data, make defensive recommendations based on research, and more.
ATT&CK Security Operations Center Assessment
The ATT&CK Security Operations Center (SOC) Certification validates defenders’ proficiency at using ATT&CK to perform rapid, low overhead SOC Assessments. The certification confirms defenders’ abilities to align modern security operations with ATT&CK for a threat-informed defense. Specific topics include analysis of SOC tools and resources, interview and discussion capability, ATT&CK with personnel, and building recommendations based on results.

MAD_Circuit_v3.7.png

ATT&CK Fundamentals

  • Module 1 : ATT&CK の理解
  • Module 2 : ATT&CK を利用するメリット
  • Module 3 : ATT&CK の運用

各単元は「学習の目的、説明、ミニ演習、まとめ」で構成されている数分の内容になっていますので、とても理解しやすいように感じました。

Module 1(30min): Understanding ATT&CK

Lesson 1.1 - Introduction to ATT&CK
 ATT&CK の基本スタンス。提供される情報の構成(TTPs との関係など)。
Lesson 1.2 - Matrices / Platforms
 ATT&CK マトリクスの要素。プラットフォーム毎のマトリクスの関係。
Lesson 1.3 - Tactics
 ATT&CK における Tactics とは。
Lesson 1.4 - Technique and Sub-Techniques
 ATT&CK における Techniques とは。Techniques と Sub-Techniques の関係。
Lesson 1.5 - Mitigations
 Techniques と Mitigations の関係。
Lesson 1.6 - Data Sources and Detections
 ATT&CK における Data Sources とは。Data Sources と検出(方法)の関係。
Lesson 1.7 - Group and Software
 ATT&CK における Groups, Software とは。Technique と Groups と Software の関係。
Lesson 1.8 - How ATT&CK Grows and Evolves
 内容の更新(頻度、履歴)とその理由。更新のトラック方法。コントリビューション。

Module 2(12min): Benefits of Using ATT&CK

Lesson 2.1 - Community Perspective
 情報源や引用方法。多くのコントリビュータの存在。
Lesson 2.2 - Common Language
 共通言語として機能する ATT&CK のメリット。
Lesson 2.3 - Quantitative Scorecard
 ATT&CK マトリクスをスコアカードとして利用する(優先順位、対応状況の評価)
Lesson 2.4 - ATT&CK Navigator
 ATT&CK Navigator とは。その利用方法。

Module 3(17min): Operationalizing ATT&CK

Lesson 3.1 - Cyber Threat Intelligence
 CTI がなぜ重要なのか。CTI と ATT&CK の関係。
Lesson 3.2 - Detection and Analysis
 検知分析を行う際の CTI の利活用方法。
Lesson 3.3 - Threat Emulation
 Threat Emulation とは。Threat Emulation の利活用方法。
Lesson 3.4 - Assessment and Engineering
 評価と改善活動。対応の優先順位。
Lesson 3.5 - Putting it all Together into Threat-informed Defense
 ATT&CK を運用に取り入れる意義。
Lesson 3.6 - Course Summary
 ATT&CK Fundamentals のまとめ
MAD4.PNG

ATT&CK Cyber Threat Intelligence

(次回) 書いた。

ATT&CK SOC Assessment

(次々回... たぶん)

ATT&CK Fundamentals Badge

ATT&CK Fundamentals の Module 1 から 3 を一度ざっと聞いて、そのままの勢いで Badge 取得に挑戦してみました。

トレーニングの各単元の最後にあるような問題形式でしたが、割と細かいことを問われましたのでトレーニング中の講師の話はしっかり聴きましょう(自戒)。ATT&CK のサイト内の情報を参照して答える問題もあるので、最初から準備をしておくと吉です。なお、トレーニング中にあった正誤の二者択一問題や、All of the above が選択肢に含まれる問題はなく(私の受けた範囲では)、90 分で 50 問強に回答する内容で以下のような回答形式でした。

  • 複数の選択肢から問題文の説明として最適な単語、センテンスを選ぶ(単一選択形式)
  • 複数の選択肢から問題文の説明として適した単語、センテンスを選ぶ(複数選択形式)
  • 複数の選択肢から問題文の空欄に適した単語、センテンスを選択
  • 複数の選択肢から問題文の説明として適した図を選ぶ
  • 複数の選択肢から問題文の説明として間違っているものを選択

つまり、一般的なオンライン試験形式です。サブスクだし Pass 基準に足りなくても一定期間後に再受験できるかな?その時はその時でレポートとして有益な情報になるかな?と考えてましたが、ぎりぎりでパス(たぶん 80% が Pass のライン)するという中途半端な結果に...。

image.png

きっと CTI の Badges 取得の途中でしくじりそうな気もするので、再受験の可否や方法はその時に改めて(^^; さて、お布施した以上は Run Through せねば。

8
7
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
8
7

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?