Atomic Red Team
Что такое Atomic Red Team?
Atomic Red TeamОткрытая библиотека небольших целевых тестов от Red Canary, эмулирующих отдельные техники MITRE ATT&CK для валидации детектов и средств защиты.
Atomic Red Team — открытый проект, поддерживаемый Red Canary, предоставляющий библиотеку небольших переносимых тестов, сопоставленных с техниками и подтехниками MITRE ATT&CK. Каждый atomic-тест — это процедура в YAML с предварительными условиями, исполнителем (PowerShell, sh, command_prompt или вручную) и шагами очистки, выполняющаяся за секунды. Сопутствующий PowerShell-модуль Invoke-AtomicRedTeam управляет запуском. Blue team применяют Atomic Red Team, чтобы убедиться, что детект на EDR и SIEM срабатывает, измерить покрытие по матрице ATT&CK и обучать новых аналитиков воспроизводимой эмуляцией противника. Atomic-тесты дополняют более крупные инструменты вроде Caldera и коммерческие платформы BAS.
● Примеры
- 01
Запуск Atomic T1059.001-1 для подтверждения, что EDR детектит безопасный запуск PowerShell с encoded command.
- 02
Генерация слоя ATT&CK Navigator на основе выполненных atomic-тестов для визуализации пробелов в покрытии.
● Частые вопросы
Что такое Atomic Red Team?
Открытая библиотека небольших целевых тестов от Red Canary, эмулирующих отдельные техники MITRE ATT&CK для валидации детектов и средств защиты. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Atomic Red Team?
Открытая библиотека небольших целевых тестов от Red Canary, эмулирующих отдельные техники MITRE ATT&CK для валидации детектов и средств защиты.
Как работает Atomic Red Team?
Atomic Red Team — открытый проект, поддерживаемый Red Canary, предоставляющий библиотеку небольших переносимых тестов, сопоставленных с техниками и подтехниками MITRE ATT&CK. Каждый atomic-тест — это процедура в YAML с предварительными условиями, исполнителем (PowerShell, sh, command_prompt или вручную) и шагами очистки, выполняющаяся за секунды. Сопутствующий PowerShell-модуль Invoke-AtomicRedTeam управляет запуском. Blue team применяют Atomic Red Team, чтобы убедиться, что детект на EDR и SIEM срабатывает, измерить покрытие по матрице ATT&CK и обучать новых аналитиков воспроизводимой эмуляцией противника. Atomic-тесты дополняют более крупные инструменты вроде Caldera и коммерческие платформы BAS.
Как защититься от Atomic Red Team?
Защита от Atomic Red Team обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Atomic Red Team?
Распространённые альтернативные названия: ART.
● Связанные термины
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.