# MITRE ATT\&CK

## ATT\&CK (Adversarial Tactics, Techniques, and Common Knowledge)

ATT\&CK est une base de connaissances qui aide à modéliser les tactiques et techniques utilisées par les adversaires cyber, ainsi qu'à comprendre comment les détecter et les arrêter.

### CTI : RECHERCHE DE GROUPES D'ATTAQUANTS POTENTIELS

1. **Accédez à la page des groupes de** [**MITRE ATT\&CK**](https://attack.mitre.org/groups/).

#### COMPRENDRE LES INFORMATIONS

[![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2Fcyber-threat-mapping%2Fraw%2Fmain%2FEN%2FIMAGES%2FGroups1.png\&width=300\&dpr=4\&quality=100\&sign=afbf7214\&sv=2)](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/blob/main/EN/IMAGES/Groups1.png)

* **ID** : Identifiant attribué au groupe par MITRE. D'autres services utilisent des noms basés sur des pays, des animaux, etc.
* **Nom** : Nom du groupe.
* **Groupes associés** : Liste des autres noms ou désignations associés au groupe.
* **Description** : Brève description du groupe, y compris les secteurs et les pays ciblés.

***

#### IDENTIFIER LES GROUPES D'ATTAQUANTS POTENTIELS

* Utilisez simplement la fonction "rechercher" de votre navigateur pour lister tous les groupes associés à votre domaine (ici : télécommunications).
* Ensuite, créez un tableau contenant les informations importantes vues précédemment.

**Exemple :**&#x20;

[![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2Fcyber-threat-mapping%2Fraw%2Fmain%2FEN%2FIMAGES%2FGroupsAtt01.png\&width=300\&dpr=4\&quality=100\&sign=bde5cea5\&sv=2)](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/blob/main/EN/IMAGES/GroupsAtt01.png)

***

### MATRICE : IDENTIFIER LES TECHNIQUES UTILISÉES

Une fois les groupes d'attaquants identifiés et priorisés, accédez à leur page dédiée.\
**Exemple utilisé** : [G1007](https://attack.mitre.org/groups/G1007/) (même s'il n'est pas classé P1 selon notre échelle).

#### COMPRENDRE LES INFORMATIONS

[![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2Fcyber-threat-mapping%2Fraw%2Fmain%2FEN%2FIMAGES%2FTechniques01.png\&width=300\&dpr=4\&quality=100\&sign=cc56d3f3\&sv=2)](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/blob/main/EN/IMAGES/Techniques01.png)

* **Domaine** :
  * *Enterprise* : Techniques pour Windows, macOS, Linux, PRE, Suite Office, Identity Provider, SaaS, IaaS, Réseaux, Containers.
  * *Mobile* : Techniques contre Android et iOS.
  * *ICS* : Systèmes industriels.
* **ID** : Les techniques représentent "comment" un adversaire atteint un objectif tactique via une action.\
  Exemple : *Active Scanning* a trois sous-techniques : Scanning IP Blocks, Vulnerability Scanning et Wordlist Scanning.
* **Nom** : Nom de la technique.
* **Utilisation** : Cas d'usage de la technique.

#### IDENTIFIER LES PROTECTIONS PAR TECHNIQUE

1. Sélectionnez chaque technique identifiée et accédez à sa page dédiée.
2. Recherchez les chapitres suivants :
   * **Mitigations** : Mesures de prévention de l'exécution d'une technique ou sous-technique.
   * **Detection** : Mesures pour détecter l'exécution d'une technique ou sous-technique.

**Exemple de résultat** :&#x20;

[![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2Fcyber-threat-mapping%2Fraw%2Fmain%2FEN%2FIMAGES%2FMesures01.png\&width=300\&dpr=4\&quality=100\&sign=7b2e3770\&sv=2)](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/blob/main/EN/IMAGES/Mesures01.png)

***

### MATRICE : IDENTIFIER LES LOGICIELS

Sur la même page, vous trouverez également un tableau dédié aux logiciels utilisés par les attaquants.

[![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2Fcyber-threat-mapping%2Fraw%2Fmain%2FEN%2FIMAGES%2FSoftwares01.png\&width=300\&dpr=4\&quality=100\&sign=4fb9e6c2\&sv=2)](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/blob/main/EN/IMAGES/Softwares01.png)

**Comme pour les techniques, créez un tableau dédié :**&#x20;

[![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2Fcyber-threat-mapping%2Fraw%2Fmain%2FEN%2FIMAGES%2FSoftwares02.png\&width=300\&dpr=4\&quality=100\&sign=42f49bb1\&sv=2)](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/blob/main/EN/IMAGES/Softwares02.png)

### NAVIGATOR : MAPPING

Une fois vos tableaux créés, il est temps de générer une carte visuelle pour définir les priorités.

Pour cela, nous utiliserons [attack-navigator](https://mitre-attack.github.io/attack-navigator/).

#### CAS 1 : UN SEUL GROUPE

1. Accédez à la page dédiée du groupe.
2. Cliquez sur le bouton **"ATT\&CK Navigator Layers"**.
3. Cliquez sur **"View"**.

[![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2Fcyber-threat-mapping%2Fraw%2Fmain%2FEN%2FIMAGES%2FCarto01.png\&width=300\&dpr=4\&quality=100\&sign=434fd739\&sv=2)](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/blob/main/EN/IMAGES/Carto01.png)

***

#### CAS 2 : MULTIPLES GROUPES

1. Sélectionnez **"Create New Layer"**.
2. Choisissez le modèle souhaité (Enterprise, Mobile, ICS).
3. Cliquez sur l'icône de loupe (🔍).
4. Dans la section **"Threat Group"**, sélectionnez les groupes identifiés précédemment.
5. Cliquez sur **"Layer Controls"**, puis sur **"Layer Settings"**.
6. Remplissez les détails.

[![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2Fcyber-threat-mapping%2Fraw%2Fmain%2FEN%2FIMAGES%2Fcarto04.png\&width=300\&dpr=4\&quality=100\&sign=3f5d2b5c\&sv=2)](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/blob/main/EN/IMAGES/carto04.png)

### EXPORTER LA CARTE

Pour exporter la carte créée :

1. Sélectionnez le bouton **Export**.
2. Choisissez :
   * L’unité de mesure (1).
   * La taille et l’orientation de la page (2).
   * Les informations à afficher (3).
3. Lancez le téléchargement (4).

[![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2Fcyber-threat-mapping%2Fraw%2Fmain%2FEN%2FIMAGES%2FCarto02.png\&width=300\&dpr=4\&quality=100\&sign=86cc6e8a\&sv=2)](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/blob/main/EN/IMAGES/Carto02.png)

**Exemple de résultat :** Un diagramme visuel détaillant les techniques, logiciels et groupes prioritaires pour votre infrastructure.

[![](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/raw/main/EN/IMAGES/APT19_G0073.svg)](https://github.com/AugmentedSecurityForce/cyber-threat-mapping/blob/main/EN/IMAGES/APT19_G0073.svg)