在搭建完Elastic Security的环境后,我们尝试复现ATT&CK Evaluations中APT29的评估过程,已验证我们所搭建的环境是否满足需求。以下内容主要从自https://github.com/mitre-attack/attack-arsenal/,在本地复现过程中修改了部分内容。如果你有一套自认为还不错的SOC或SIEM,不妨在你的真实环境中使用以下评估方法进行成熟度评估。看看对ATT&CK框架的覆盖度能达到百分之多少,是否还存在可以提高的防御环节。评估环境准备ATT&CK给出的拓扑和系统要求。根据我们自己的Lab环境修改如下:IPOS-NameOS备注10.0.0.101PCWindows10 with Office 201910.0.0.102PC1Windows1010.0.0.103PC2Windows1010.0.0.104PC3Windows10 with Office 201910.0.0.100DC01DC Windows Server 2019 Datacenterapt.local10.0.0.200Team ServerPupy/Metasploit/PoshC2Kali10.0.0.199Redirector ServerSocatUbu
………………………………