คำสั่ง TTP¶
คำสั่ง ttp-summary¶
คำสั่งนี้สรุปกลยุทธ์ (tactics) และเทคนิค (techniques) ที่พบในแต่ละคอมพิวเตอร์ตาม MITRE ATT&CK TTPs ที่กำหนดไว้ในฟิลด์ tags ของกฎ sigma
- อินพุต: JSONL
- โปรไฟล์: โปรไฟล์ที่แสดงผลฟิลด์
%MitreTactics%และ%MitreTags%(ตัวอย่าง:verbose,all-field-info-verbose,super-verbose) - เอาต์พุต: เทอร์มินัลหรือ CSV
ตัวเลือกที่จำเป็น:
-t, --timeline <JSONL-FILE-OR-DIR>: ไฟล์ไทม์ไลน์ JSONL ของ Hayabusa หรือไดเรกทอรีของไฟล์ JSONL
ตัวเลือก:
-o, --output <CSV-FILE>: ไฟล์ CSV ที่จะใช้บันทึกผลลัพธ์-q, --quiet: ไม่แสดงโลโก้ (ค่าเริ่มต้น:false)
ตัวอย่างคำสั่ง ttp-summary¶
เตรียมไทม์ไลน์ JSONL ด้วย Hayabusa:
แสดงสรุป TTP ไปยังเทอร์มินัล:
บันทึกผลลัพธ์ไปยังไฟล์ CSV:
ภาพหน้าจอ ttp-summary¶
คำสั่ง ttp-visualize¶
คำสั่งนี้แยก TTPs ออกมาและสร้างไฟล์ JSON เพื่อแสดงผลใน MITRE ATT&CK Navigator
- อินพุต: JSONL
- โปรไฟล์: โปรไฟล์ที่แสดงผลฟิลด์
%MitreTactics%และ%MitreTags%(ตัวอย่าง:verbose,all-field-info-verbose,super-verbose) - เอาต์พุต: JSON
ตัวเลือกที่จำเป็น:
-t, --timeline <JSONL-FILE-OR-DIR>: ไฟล์ไทม์ไลน์ JSONL ของ Hayabusa หรือไดเรกทอรีของไฟล์ JSONL
ตัวเลือก:
-o, --output <JSON-FILE>: ไฟล์ JSON ที่จะใช้บันทึกผลลัพธ์ (ค่าเริ่มต้น:mitre-ttp-heatmap.json)-q, --quiet: ไม่แสดงโลโก้ (ค่าเริ่มต้น:false)
ตัวอย่างคำสั่ง ttp-visualize¶
เตรียมไทม์ไลน์ JSONL ด้วย Hayabusa:
แยก TTPs ออกมาและบันทึกไปยัง mitre-ttp-heatmap.json:
เปิด https://mitre-attack.github.io/attack-navigator/, คลิก Open Existing Layer และอัปโหลดไฟล์ JSON ที่บันทึกไว้
ภาพหน้าจอ ttp-visualize¶
คำสั่ง ttp-visualize-sigma¶
คำสั่งนี้แยก TTPs ออกมาจาก Sigma และสร้างไฟล์ JSON เพื่อแสดงผลใน MITRE ATT&CK Navigator
- อินพุต: ไดเรกทอรีกฎ Sigma
- เอาต์พุต: JSON
ตัวเลือกที่จำเป็น:
-r, --ruleDir <SIGMA-DIR>: ไดเรกทอรีกฎ Sigma
ตัวเลือก:
-o, --output <JSON-FILE>: ไฟล์ JSON ที่จะใช้บันทึกผลลัพธ์ (ค่าเริ่มต้น:mitre-attack-navigator.json)-q, --quiet: ไม่แสดงโลโก้ (ค่าเริ่มต้น:false)
ตัวอย่างคำสั่ง ttp-visualize-sigma¶
โคลนที่เก็บข้อมูล Sigma:
แยก TTPs ออกมาจาก Sigma และบันทึกไปยัง mitre-attack-navigator.json: