From list of TTPs to ATT&CK Navigator Layer

What: #script
Where: #github
Who: Qwerty Bubble
When: 25/05/2024
How: Python/PowerShell

Кто-то читает наш отчёт, кто-то едет на конференцию Positive Hack Days в Лужники, а кто-то публикует субботний пост

Хочу поделиться скриптом, который из текстового списка TTPs вида: T1484.002 T1484.002 T1622 T1622 T1622 T1556.008 T1553 T1553 соберёт полноценный .json для загрузки в ATT&CK Navigator в целях формирования тепловой карты покрытия матрицы ATT&CK.

— Зачем это всё надо?
— Чтобы вручную не разукрашивать матрицу, конечно же!
— А вообще зачем?
— Для того, чтобы наглядно продемонстрировать покрытие текущих корреляционных правил/отслеживать динамику разработки хантов с детектирующей логикой/составлять профайлы злоумышленников/выявлять приоритет покрытия техник при разработке детектов 🤓

Помимо выполнения основной задачи, скоринг, рассчитанный для дочерних техник будет суммироваться для родительской. Сделано, опять же, для лучшей наглядности, чтобы не раскрывать в навигаторе все дочерние техники.

Подробную инструкцию оставил на github

Всем хороших выходных и берегите себя

---