Atomic Red Team
O que é Atomic Red Team?
Atomic Red TeamBiblioteca open source de testes pequenos e focados criada pela Red Canary que emula tecnicas individuais do MITRE ATT&CK para validar detecoes e controlos.
Atomic Red Team e um projeto open source mantido pela Red Canary que disponibiliza uma biblioteca de testes pequenos e portateis mapeados a tecnicas e sub-tecnicas do MITRE ATT&CK. Cada teste atomico e um procedimento definido em YAML com pre-requisitos, executor (PowerShell, sh, command_prompt ou manual) e passos de limpeza, e e executado em segundos. O modulo PowerShell Invoke-AtomicRedTeam orquestra a execucao. Equipas blue team usam o Atomic Red Team para verificar se as deteccoes do EDR e SIEM disparam, medir a cobertura pela matriz ATT&CK e treinar analistas novos com emulacao de adversario reproduzivel. Os atomics complementam ferramentas mais abrangentes como o Caldera e plataformas comerciais de BAS.
● Exemplos
- 01
Executar o Atomic T1059.001-1 para confirmar que o EDR deteta uma execucao benigna de PowerShell com comando codificado.
- 02
Gerar uma camada do ATT&CK Navigator a partir dos atomics executados para visualizar lacunas de cobertura.
● Perguntas frequentes
O que é Atomic Red Team?
Biblioteca open source de testes pequenos e focados criada pela Red Canary que emula tecnicas individuais do MITRE ATT&CK para validar detecoes e controlos. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Atomic Red Team?
Biblioteca open source de testes pequenos e focados criada pela Red Canary que emula tecnicas individuais do MITRE ATT&CK para validar detecoes e controlos.
Como funciona Atomic Red Team?
Atomic Red Team e um projeto open source mantido pela Red Canary que disponibiliza uma biblioteca de testes pequenos e portateis mapeados a tecnicas e sub-tecnicas do MITRE ATT&CK. Cada teste atomico e um procedimento definido em YAML com pre-requisitos, executor (PowerShell, sh, command_prompt ou manual) e passos de limpeza, e e executado em segundos. O modulo PowerShell Invoke-AtomicRedTeam orquestra a execucao. Equipas blue team usam o Atomic Red Team para verificar se as deteccoes do EDR e SIEM disparam, medir a cobertura pela matriz ATT&CK e treinar analistas novos com emulacao de adversario reproduzivel. Os atomics complementam ferramentas mais abrangentes como o Caldera e plataformas comerciais de BAS.
Como se defender contra Atomic Red Team?
As defesas contra Atomic Red Team costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Atomic Red Team?
Nomes alternativos comuns: ART.
● Termos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- defense-ops№ 1039
SIEM
Plataforma que agrega, normaliza e correlaciona telemetria de segurança em toda a organização para deteção, investigação, conformidade e reporting.
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.