Atomic Red Team
Atomic Red Team とは何ですか?
Atomic Red TeamRed Canary が公開する小さく焦点を絞ったテストのオープンソースライブラリで、個々の MITRE ATT&CK テクニックを模擬し、検知やコントロールの有効性を検証する。
Atomic Red Team は、Red Canary が運営するオープンソースプロジェクトで、MITRE ATT&CK のテクニック・サブテクニックに対応した小型・ポータブルなテストのライブラリを提供します。各 atomic テストは YAML で記述された手順で、前提条件、実行系(PowerShell、sh、command_prompt、手動)、後片付け手順を含み、数秒で完了します。付属の PowerShell モジュール Invoke-AtomicRedTeam が実行を統括します。ブルーチームは Atomic Red Team を用いてエンドポイントや SIEM の検知が発火するかを確認し、ATT&CK マトリクスでカバレッジを計測し、新人アナリストへ再現可能な敵対者エミュレーションで教育を行います。atomic は Caldera や商用 BAS など、より広範な手段と相互補完的に利用されます。
● 例
- 01
Atomic T1059.001-1 を実行し、EDR が良性のエンコード済み PowerShell 実行を検知できることを確認する。
- 02
実行済みの atomic を基に ATT&CK Navigator のレイヤーを生成し、検知カバレッジのギャップを可視化する。
● よくある質問
Atomic Red Team とは何ですか?
Red Canary が公開する小さく焦点を絞ったテストのオープンソースライブラリで、個々の MITRE ATT&CK テクニックを模擬し、検知やコントロールの有効性を検証する。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
Atomic Red Team とはどういう意味ですか?
Red Canary が公開する小さく焦点を絞ったテストのオープンソースライブラリで、個々の MITRE ATT&CK テクニックを模擬し、検知やコントロールの有効性を検証する。
Atomic Red Team はどのように機能しますか?
Atomic Red Team は、Red Canary が運営するオープンソースプロジェクトで、MITRE ATT&CK のテクニック・サブテクニックに対応した小型・ポータブルなテストのライブラリを提供します。各 atomic テストは YAML で記述された手順で、前提条件、実行系(PowerShell、sh、command_prompt、手動)、後片付け手順を含み、数秒で完了します。付属の PowerShell モジュール Invoke-AtomicRedTeam が実行を統括します。ブルーチームは Atomic Red Team を用いてエンドポイントや SIEM の検知が発火するかを確認し、ATT&CK マトリクスでカバレッジを計測し、新人アナリストへ再現可能な敵対者エミュレーションで教育を行います。atomic は Caldera や商用 BAS など、より広範な手段と相互補完的に利用されます。
Atomic Red Team からどのように防御しますか?
Atomic Red Team に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Atomic Red Team の別名は何ですか?
一般的な別名: ART。
● 関連用語
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 371
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。