Atomic Red Team
Was ist Atomic Red Team?
Atomic Red TeamOpen-Source-Bibliothek kleiner, fokussierter Tests von Red Canary, die einzelne MITRE-ATT&CK-Techniken emuliert, um Detektionen und Sicherheitskontrollen zu validieren.
Atomic Red Team ist ein quelloffenes Projekt, das von Red Canary gepflegt wird und eine Bibliothek kleiner, portabler Tests bereitstellt, die auf MITRE-ATT&CK-Techniken und -Sub-Techniken abgebildet sind. Jeder Atomic Test ist eine in YAML beschriebene Prozedur mit Prerequisites, Executor (PowerShell, sh, command_prompt oder manuell) und Cleanup-Schritten und lauft in Sekunden. Das begleitende PowerShell-Modul Invoke-AtomicRedTeam orchestriert die Ausfuhrung. Blue Teams nutzen Atomic Red Team, um zu prufen, dass Endpoint- und SIEM-Detections feuern, die Detection Coverage uber die ATT&CK-Matrix zu messen und neue Analysten mit reproduzierbarer Adversary Emulation einzuarbeiten. Atomics erganzen breiter aufgestellte Tools wie Caldera und kommerzielle BAS-Plattformen.
● Beispiele
- 01
Atomic T1059.001-1 ausfuhren, um zu bestatigen, dass das EDR eine harmlose PowerShell-Execution mit Encoded Command erkennt.
- 02
Ein ATT&CK-Navigator-Layer aus ausgefuhrten Atomics erzeugen, um Detection-Coverage-Lucken zu visualisieren.
● Häufige Fragen
Was ist Atomic Red Team?
Open-Source-Bibliothek kleiner, fokussierter Tests von Red Canary, die einzelne MITRE-ATT&CK-Techniken emuliert, um Detektionen und Sicherheitskontrollen zu validieren. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Atomic Red Team?
Open-Source-Bibliothek kleiner, fokussierter Tests von Red Canary, die einzelne MITRE-ATT&CK-Techniken emuliert, um Detektionen und Sicherheitskontrollen zu validieren.
Wie funktioniert Atomic Red Team?
Atomic Red Team ist ein quelloffenes Projekt, das von Red Canary gepflegt wird und eine Bibliothek kleiner, portabler Tests bereitstellt, die auf MITRE-ATT&CK-Techniken und -Sub-Techniken abgebildet sind. Jeder Atomic Test ist eine in YAML beschriebene Prozedur mit Prerequisites, Executor (PowerShell, sh, command_prompt oder manuell) und Cleanup-Schritten und lauft in Sekunden. Das begleitende PowerShell-Modul Invoke-AtomicRedTeam orchestriert die Ausfuhrung. Blue Teams nutzen Atomic Red Team, um zu prufen, dass Endpoint- und SIEM-Detections feuern, die Detection Coverage uber die ATT&CK-Matrix zu messen und neue Analysten mit reproduzierbarer Adversary Emulation einzuarbeiten. Atomics erganzen breiter aufgestellte Tools wie Caldera und kommerzielle BAS-Plattformen.
Wie schützt man sich gegen Atomic Red Team?
Schutzmaßnahmen gegen Atomic Red Team kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Atomic Red Team?
Übliche alternative Bezeichnungen: ART.
● Verwandte Begriffe
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- defense-ops№ 1039
SIEM
Plattform, die Sicherheits-Telemetrie aus dem gesamten Unternehmen aggregiert, normalisiert und korreliert, um Erkennung, Untersuchung, Compliance und Reporting zu ermöglichen.
- defense-ops№ 1147
Threat Hunting
Proaktive, hypothesengetriebene Suche in der Telemetrie nach Bedrohungen, die bestehenden Detektionen entgangen sind.