Qu’est-ce que MITRE ATT&CKae et comment l’utiliser pour progresser ?

ÉCRIT PAR

Adam Swan

Chef d'ingénierie en chasse aux menaces

[post-views]

avril 11, 2022 · 13 min de lecture

Qu’est-ce que MITRE ATT&CKae et comment l’utiliser pour progresser ?

Table des matières :

INTRODUCTION

De nombreuses équipes bleues utilisent MITRE ATT&CK® pour progresser dans la maturité de leur détection et de leur réponse. L’arsenal de l’équipe bleue en outils EDR, journaux d’événements et outils de triage ouvrent tous l’histoire de ce qui se passe sur les points d’extrémité. Cependant, les anomalies sont normales et ces alertes et sources de données doivent être triées pour avancer avec les actions de réponse ou de filtrage. Ce MITRE projet fournit aux défenseurs en progression une base de connaissances et des ressources qui peuvent être utilisées comme outils pour comprendre les attaques et, par conséquent, les règles et les méthodes de détection. Utiliser ATT&CK pour cette réflexion personnelle vous aidera à progresser dans le monde de la cybersécurité.

EXIGENCES

Un laboratoire en fonctionnement avec au moins un hôte Windows 10 ou Windows 11 est essentiel à l’avancement personnel de tout défenseur. Avancer sans pratique dans un environnement de laboratoire isolé ne mène qu’à une compréhension superficielle des techniques ATT&CK. Utiliser un ordinateur non isolé pour tester les techniques de l’adversaire n’est pas conseillé. Je recommande vivement, au minimum, d’augmenter les paramètres par défaut des paramètres de journalisation (PowerShell, ligne de commande des processus, etc.), d’installer et de configurer Sysmon, et d’avoir ProcMon and Wireshark en cours d’exécution à tout moment.

COMMENT LE MITRE ATT&CK FRAMEWORK PEUT-IL AIDER ?

Tout d’abord, examinons ce que signifie ATT&CK. Souvent qualifié par la communauté de “cadre”, les créateurs d’ATT&CK le définissent comme une “base de connaissances”. ATT&CK a été créé par MITRE pour documenter les techniques des attaquants à utiliser dans les émulations d’adversaires. Le “CK” dans ATT&CK signifie “Common Knowledge” (Connaissance Commune). Les tactiques et techniques documentées dans ATT&CK reflètent les comportements réels des adversaires. Par conséquent, chaque défenseur devrait avoir une conscience de chaque tactique et technique.

Tutoriel MITRE ATT&CK : Avant de commencer

Vous devez identifier un endroit pour conserver des notes sur chaque technique. Une manière simple de prendre des notes est via l’outil MITRE ATT&CK Navigator, qui a la capacité de télécharger la matrice en un fichier Excel. De plus, la plateforme Detection as Code de SOC Prime fournit une sélection centrée sur les menaces de contenu de détection alignée avec le dernier cadre ATT&CK avec la capacité d’approfondir les tactiques, les techniques et les sous-techniques associées.

MITRE ATT&CK Navigator :

https://mitre-attack.github.io/attack-navigator/enterprise/

Ressources ATT&CK propulsées par la plateforme SOC Prime :

https://tdm.socprime.com/mitre/

Voici quelques notes suggérées à prendre :

Écrivez votre propre description de la technique.

Trouvez & gardez une copie du code PoC (Proof of Concept).

Gardez une copie des signatures écrites ou des idées de détection.

Gardez une copie (ou un lien) vers des outils libres et open source utiles pour enquêter sur la technique après compromission.

Documentez les ressources les plus utiles que vous avez identifiées pour chaque technique.

Suivez les experts que vous avez trouvés les plus influents pour votre compréhension.

COMMENT UTILISER ATT&CK : ORIENTATIONS GÉNÉRALES

1. Identifier les Techniques ATT&CK

La méthode la plus rapide et la plus facile d’utilisation des sources de données ATT&CK pour la progression personnelle est de commencer à plonger dans chaque technique répertoriée dans la matrice ATT&CK de gauche à droite. Cette approche brute force vous fera passer par chaque technique ; cependant, elle peut ne pas être la plus efficace pour s’assurer que vous vous développez rapidement dans les domaines qui comptent le plus.

Voici quelques réalités des techniques ATT&CK qui devraient influencer votre approche pour les utiliser afin de guider l’apprentissage :

Certaines techniques sont plus difficiles à comprendre et à mettre en œuvre que d’autres ; vous ne voulez pas être submergé par des techniques compliquées.

Certaines techniques sont très spécifiques et d’autres sont “larges” ; j’élargirai sur ce sujet plus tard.

Certaines techniques sont plus couramment utilisées par les adversaires que d’autres. Par exemple, les techniques exploitant .NET sont devenues plus courantes car les équipes bleues ont un meilleur positionnement contre les attaques PowerShell.

Heureusement, Travis Smith de Tripwire a publié un cadre ATT&CK personnalisé basé sur son expérience d’enseignement pour identifier les méthodes plus faciles par rapport aux plus difficiles. N’ayez pas peur de sauter et de revenir à une technique si vous trouvez que certaines techniques sont plus difficiles à comprendre.

Pour plus de détails, consultez les ressources suivantes :

Remarque : Gardez à l’esprit que, au fur et à mesure que ATT&CK évolue, ces matrices personnalisées pourraient devenir obsolètes.

2. Lisez la Page des Techniques MITRE ATT&CK Chaque technique répertoriée dans ATT&CK est généralement plus impliquée que le résumé de ~1 000 mots fourni par MITRE. Par exemple, “compromission par drive-by” répertoriée comme la première technique en haut à gauche de la matrice est une technique très large. De nombreuses méthodes correspondant à cette technique existent, telles que cibler les extensions de navigateur, les bogues du navigateur, ou les bogues du système d’exploitation. La détection et la compréhension de ces méthodes peuvent différer énormément. Par exemple, détecter un fichier flash malveillant est différent de détecter un JavaScript malveillant. Une exploitation de fichier flash est probablement contenue dans le format SWF et implique probablement l’analyse d’ActionScript, tandis qu’une exploitation basée sur JavaScript est un fichier texte clair et cible probablement le moteur JavaScript du navigateur.

Each technique listed in ATT&CK is generally more involved than the ~1,000-word summary MITRE provides. For instance, “drive by compromise” listed as the first technique in the top-left of the matrix is a very broad technique. Many methods that fit this technique exist, such as targeting browser extensions, browser bugs, or operating system bugs. The detection and understanding of these methods can differ extremely. For instance, detecting a malicious flash file is different from detecting malicious JavaScript. A flash file exploit is likely contained in the SWF format and probably involves analyzing ActionScript, while a JavaScript-based exploit is a plain text file and likely targets the browser’s JavaScript engine.

Le matériel fourni par MITRE sur chaque page ATT&CK est une bonne introduction à la technique. Il vous fournira généralement la terminologie et suffisamment d’informations pour vous guider dans des recherches supplémentaires. Pour de nombreuses techniques, lire la description ATT&CK vous laissera probablement avec plus de questions que de réponses. C’est une bonne chose.

Points à considérer

Au fur et à mesure que vous lisez les ATT&CK Chaque technique répertoriée dans ATT&CK est généralement plus impliquée que le résumé de ~1 000 mots fourni par MITRE. Par exemple, “compromission par drive-by” répertoriée comme la première technique en haut à gauche de la matrice est une technique très large. De nombreuses méthodes correspondant à cette technique existent, telles que cibler les extensions de navigateur, les bogues du navigateur, ou les bogues du système d’exploitation. La détection et la compréhension de ces méthodes peuvent différer énormément. Par exemple, détecter un fichier flash malveillant est différent de détecter un JavaScript malveillant. Une exploitation de fichier flash est probablement contenue dans le format SWF et implique probablement l’analyse d’ActionScript, tandis qu’une exploitation basée sur JavaScript est un fichier texte clair et cible probablement le moteur JavaScript du navigateur., vous devez garder à l’esprit les éléments suivants :

Quels termes me paraissent vagues ?
Par exemple, qu’est-ce que “ActionScript” ?

Combien d’adversaires sont mentionnés comme utilisant cette technique ?
Généralement, plus d’adversaires sont mentionnés, plus la technique peut être commune et facile à abuser.

Quelle est la précision de cette technique ?
Certaines techniques sont très précises et peuvent ne pas nécessiter autant de recherche supplémentaire qu’une technique large.

Quels outils offensifs sont répertoriés comme étant associés à cette technique et sont-ils open source ou disponibles pour des tests ?

3. Faites des recherches

Pour chaque technique, il y a une abondance de ressources situées en bas de page. Généralement, les ressources couvriront les rapports sur les implémentations de la technique par l’adversaire. Les meilleures ressources pour accroître votre compréhension sont celles qui plongent dans l’implémentation technique des techniques et fournissent des liens vers la recherche ou les outils offensifs utilisés par les adversaires. De plus, assurez-vous de vérifier tout rapport de recherche offensif original ou articles de blog sur la technique.

Points à considérer :

Au fur et à mesure que vous lisez les ressources, vous devez garder à l’esprit les éléments suivants :

Quels noms me paraissent vagues ?
Par exemple, qu’est-ce que “ActionScript” ?

Quels outils offensifs sont répertoriés comme étant associés à cette technique et sont-ils open source ou disponibles pour des tests ?

Y a-t-il du code PoC disponible ou des captures d’écran du code utilisé pour mettre en œuvre la technique ?

Quels mécanismes de prévention et de détection sont mis en avant par le chercheur ? Mettent-ils spécifiquement en avant la technique ?

Quels outils ou techniques sont disponibles pour détecter cette technique après compromission ?

Ai-je couvert tous les aspects de cette technique ? Y a-t-il des méthodes supplémentaires de cette technique que je n’ai pas couvertes ?

Les auteurs de cette publication ont-ils des pages GitHub, des articles de blog, un compte Twitter, etc. ?

4. Explorez des ressources supplémentaires (Recherche)

Puisque ATT&CK est une base de connaissances commune, de nombreuses ressources existent de la part de chercheurs qui ne sont pas nécessairement liées à ATT&CK. Les ressources peuvent agrégées des exemples de techniques spécifiques, identifier certaines détections, et publier des recherches de techniques offensives.

Voici quelques-uns de mes liens préférés qui couvrent les techniques adverses dans ATT&CK, et beaucoup incluent des références à des ressources supplémentaires :

Heureusement pour nous, bon nombre de ces techniques ont également été expliquées par des chercheurs en sécurité lors de conférences au fil des années. Voici quelques classiques :

Défendre contre les attaques PowerShell – Lee Holmes
Abus de l’instrumentation de gestion de Windows – Matt Graeber
Conception de portes dérobées Active Directory DACL – Andy Robbins et Will Schroeder

Points à considérer :

See Étape 3.

5. Effectuez une émulation (Émuler)

Remarque : Ne téléchargez pas d’outils d’émulation à moins de posséder le réseau ou d’avoir une autorisation explicite. Les outils d’émulation sont souvent détectés par les antivirus et peuvent contenir des exploits.

Émuler une technique dans un laboratoire isolé est excellent. Le code PoC fournit aux défenseurs une fenêtre pour maîtriser la compréhension d’une attaque. De nombreux scripts d’émulation gratuits et code PoC existent, et ces ensembles d’outils fournissent une fenêtre sur la technique sous la forme d’un code condensé. Exécuter simplement le code et observer le résultat ne suffit pas. Une tentative doit être faite pour parcourir le code ligne par ligne afin de comprendre la technique. De plus, les journaux capturés nativement par le système d’exploitation, Sysmon, ProcMon doivent être examinés. Dans certains cas, capturer une télémétrie supplémentaire avec des outils tels que Wireshark, des débogueurs, des moniteurs d’API, des dumps mémoire, etc., peut être bénéfique. En outre, utiliser des outils de criminalistique post-émulation (tels que ceux mis à disposition par Eric Zimmerman) peut être utile selon la technique.

Rédiger et tester la détection de cette technique est une autre excellente manière de comprendre l’attaque et les limitations et contexte de l’alerte sur cet événement. Aujourd’hui, de nombreuses règles sont partagées via SIGMA, un format de langage générique pour plusieurs systèmes SIEM.

La plateforme Detection as Code de SOC Prime fournit nativement plus de 130,000 détections basées sur Sigma par abonnement dans plus de 20 formats SIEM et XDR qui incluent des émulations et des règles pour la plupart des techniques disponibles dans la dernière version du cadre ATT&CK. Créez un compte gratuit sur https://tdm.socprime.com/ et accédez aux derniers contenus de détection adaptés au profil de menaces de votre organisation et à l’outil de sécurité utilisé. Avec le tableau de bord Couverture ATT&CK de MITRE , vous pouvez suivre les métriques en temps réel sur la couverture des menaces et évaluer le progrès au fil du temps sur les techniques ATT&CK abordées, les tactiques et sous-techniques avec le contenu de la plateforme de SOC Prime.

Certaines techniques peuvent être incroyablement difficiles à comprendre ou à reproduire sans formation avancée et expérience. Il est normal, même après avoir effectué une émulation, acquis des connaissances sur la technique, ou même écrit votre propre code de ne pas comprendre complètement ce qui se passe. Si vous êtes arrivé jusqu’ici et avez des questions persistantes, contacter directement des mentors ou des chercheurs peut être utile.

Points à considérer

Au fur et à mesure que vous lisez les ressources, vous devez garder à l’esprit les éléments suivants :

Puis-je modifier / altérer le PoC pour contourner la détection ?
Y a-t-il des PoCs supplémentaires disponibles qui s’inscrivent dans cette technique mais utilisent une méthode différente ?

LIMITATIONS de ATT&CK

Actualité

Le temps entre la découverte ou la demande d’une nouvelle technique pour qu’elle soit publiée peut prendre plusieurs mois. Des alternatives telles que suivre des chercheurs sur Twitter est un excellent moyen d’être en avance sur le jeu. Cependant, séparer le signal du bruit avec le flot d’informations partagées peut être une tâche intimidante.

Profondeur

Tous les sujets applicables à la cybersécurité ne sont pas couverts par les techniques ATT&CK. Par exemple, on n’apprendra probablement pas les subtilités des exploits basés sur des utilisations après libération. Consulter d’autres cadres et bases de connaissances tels que le Common Weaknesses Enumeration de MITRE peut aider ici.

Rejoignez la plateforme Detection as Code de SOC Prime pour une défense cyber collaborative, une chasse aux menaces et une découverte pour combattre efficacement les menaces numériques avec la puissance d’une communauté mondiale de plus de 20,000 experts en sécurité.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Blog, Plateforme SOC Prime — 2 min de lecture

Rechercher sur la place de marché de détection des menaces d’Uncoder AI

Steven Edwards

Blog, Plateforme SOC Prime — 11 min de lecture

Capacités de Personnalisation de Contenu Propulsées par la Plateforme SOC Prime : Instructions Étape par Étape pour des Déploiements Fluides

Sergey Bayrachny

Blog, Plateforme SOC Prime — 5 min de lecture

Intégration de Sumo Logic avec le Marché de Détection des Menaces

Veronika Telychko

Name	Descripiton
PHPSESSID	Preserves user session state across page requests. Cookie generated by applications based on the PHP language. This is a general purpose identifier used to maintain user session variables. It is normally a random generated number, how it is used can be specific to the site, but a good example is maintaining a logged-in status for a user between pages.
sp_i	Used to store information about authenticated User.
sp_r	Used to store information about authenticated User.
sp_a	Used to store information about authenticated User.

Name	Descripiton
tuuid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
tuuid_last_update	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
um	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
umeh	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
na_sc_x	Used by the social sharing platform AddThis to keep a record of parts of the site that has been visited in order to recommend other parts of the site.
APID	Collects anonymous data related to the user's visits to the website.
IDSYNC	Collects anonymous data related to the user's visits to the website.
_cc_aud	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_cc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_dc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_id	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
dpm	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
acs	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
clid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
KRTBCOOKIE_#	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PUBMDCID	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PugT	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
ssi	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.
_tmid	Registers a unique ID that identifies the user's device upon return visits. The ID is used to target ads in video clips.
wam-sync	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
wui	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
AFFICHE_W	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
B	Collects anonymous data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The registered data is used to categorise the users' interest and demographical profiles with the purpose of customising the website content depending on the visitor.
1P_JAR	These cookies are used to gather website statistics, and track conversion rates.
APISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
HSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
NID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SAPISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SIDCC	Security cookie to protect users data from unauthorised access.
SSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
__utmx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.
__utmxx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.

Name	Descripiton
_hjid	Hotjar cookie. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample	This cookie is associated with web analytics functionality and services from Hot Jar, a Malta based company. It uniquely identifies a visitor during a single browser session and indicates they are included in an audience sample.
intercom-id-[xxx]	This cookie is used by Intercom as a session so that users can continue a chat as they move through the site.
intercom-session-[xxx]	Used to keeping track of sessions and remember logins and conversations.
demdex	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
CookieConsent	Stores the user's cookie consent state for the current domain.
__cfduid	Used by the content network, Cloudflare, to identify trusted web traffic.
ss	These cookies enable the website to provide enhanced functionality and personalisation . They may be set by us or by third party providers whose services we have added to our pages. These services may include the Live Chat facility, Contact Us form(s), the Product Quotation forms and submission process, and the Email Newsletter sign up functionality .

Name	Descripiton
_ga	This cookie name is asssociated with Google Universal Analytics - which is a significant update to Google's more commonly used analytics service. This cookie is used to distinguish unique users by assigning a randomly generated number as a client identifier. It is included in each page. Registers a unique ID that is used to generate statistical data on how the visitor uses the website. request in a site and used to calculate visitor, session and campaign data for the sites analytics reports. By default it is set to expire after 2 years, although this is customisable by website owners.
_gat	Used by Google Analytics to throttle request rate. This cookie name is associated with Google Universal Analytics, according to documentation it is used to throttle the request rate - limiting the collection of data on high traffic sites. It expires after 10 minutes.
_gid	This cookie name is asssociated with Google Universal Analytics. This appears to be a new cookie and as of Spring 2017 no information is available from Google. It appears to store and update a unique value for each page visited. Registers a unique ID that is used to generate statistical data on how the visitor uses the website.
IDE	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
r/collect	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
test_cookie	Used to check if the user's browser supports cookies.
collect	Used to send data to Google Analytics about the visitor's device and behaviour. Tracks the visitor across devices and marketing channels.
ads/user-lists/#	These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites.
c	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
khaos	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
put_#	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpb	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpx	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
tap.php	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.

Qu’est-ce que MITRE ATT&CKae et comment l’utiliser pour progresser ?

INTRODUCTION

EXIGENCES

COMMENT LE MITRE ATT&CK FRAMEWORK PEUT-IL AIDER ?