都2021年了，大伙儿毫无疑问都听过MITRE Shield。它是MITRE 2020年公布的一个全新升级的主动防御知识库系统，內容归功于她们与攻击者周璇十年多的防御工作经验。MITRE Shield应该是迄今为止之一次有关主动防御的完全免费知识共享，防御者将更改被动挨打的局势。

很多人都是会问：这种主动防御对策如何完成和落地式？这是一个疑难问题，但沒有问起关键。大家具体应当思索的是：在哪儿执行主动防御会完成实际效果利润更大化？

我还在MITRE Shield实体模型中找到4项主动防御技术性来处理上边这两个难题。

挑选规范有二：

• 执行是不是简易、不容易牵涉过多单位？
• 对攻击者个人行为的毁坏幅度是不是够大？

結果挑选出去的4项技术性全是和活动目录有关的。活动目录已变成攻击者更爱的攻击媒体。在活动目录中布署主动防御对策，能够使你在攻击者行動毁坏全过程中获得出乎意料的获得。

准备工作仅有二项：可以对活动目录服务器虚拟机一些小的变更；可以浏览一台检测设备，更好是沒有一切互联网访问权限。

MITRE Shield?#1 – Decoy Account（虚报帐户）

序号 DPR002

在你的活动目录中嵌入虚报账号。一切与这种帐户产生的互动都可以视作高宽比可靠的侵入指标值。这种账号不仅能够协助你科学研究攻击者的个人行为，还能够在攻击者枚举类型全过程中开展欺诈，影响事后攻击主题活动。

流程1：设定虚报帐户

将该帐户设定为有着“域管理人员”管理权限，为此吸引住攻击者。

流程2-日志审计设定和攻击演示

下边这个视频演示的是怎么设置Windows日志审计，捕捉攻击日志，另外实行攻击检测检测是不是恰当捕捉了相对的日志。

检验标准：

If login_activity observed for decoy_account then raise a high priority alert.

MITRE Shield?#2 – 虚报系统软件和虚报內容

序号 ?DPR0022和DPR0033

虚报系统软件是一种优异的主动防御专用工具，将攻击者的侧重点从真正财产上引走。虚报內容则能够是假的文档、电脑浏览器快捷方式图标等，是将攻击者诱惑到虚报系统软件的鱼饵。

流程1：情景创建

本视頻将演示怎样在检测设备上设定一个web服务器，正确引导攻击者与之互动。我们在活动目录 *** 服务器上可公布浏览的部位建立了一个电脑浏览器快捷方式图标，有意让攻击者发觉。

流程2-日志审计设定和攻击演示

保证 大家的web服务器可以纪录联接日志。假如攻击者对该web服务器开展侦查和检测，大家会在webserver的日志中见到这条日志。

检验标准：

If REQUEST observed for /admin then raise a high priority alert.

MITRE Shield?#3 – 虚报凭据

序号 DPR0024

虚报凭据就是指仿冒的登录名和登陆密码，能够在活动目录等许多部位中嵌入。当攻击者应用时，虚报凭据如同一个无音的报警通告被攻击者，另外也可以延迟时间攻击的合理方式。

流程1：情景创建

在本视頻中，大家建立了一个含有仿冒凭据的批处理文件，并将其储存在活动目录 *** 服务器上可公布浏览的部位，便于攻击者发觉。

流程2-日志审计设定和攻击演示

下边这个视频将演示怎样在检测设备上设定日志审计，进而发觉应用虚报凭据侵入检测设备的个人行为。

检验标准：

If login_event is 4625 AND username is admin
Then raise a high priority alert.

MITRE Shield?4 – Pocket Litter

序号 DPR0052

Pocket Litter意译为袋子废弃物，延伸实际意义是在系统软件上加上一些数据信息，包含文档、注册表项、历史时间日志、电脑浏览器历史数据、电脑浏览器对话这些客户数据信息，让攻击者对总体目标系统软件和客户更为深信不疑。和虚报內容有重合，但Pocket Litter范畴更为普遍，例如还包含安裝的运用、源代码等。

流程1：情景创建

在下面的视頻中，大家将在检测设备上建立一个共享文件，并在活动目录 *** 服务器上可公布浏览的部位中嵌入此共享文件的快捷方式图标，有意让攻击者去发觉。

流程2-日志审计设定和攻击演示

下边大家将演示怎样在检测电子计算机上设定共享文件的日志审计，进而捕捉试着浏览电子计算机上共享文件的个人行为。

检验标准：

If login_event is 5140 AND share_name contains shared_folder_name
Then raise a high priority alert.

为何演示时挑选SYSVOL文件夹名称？

SYSVOL是储存域公共性文件服务器团本的文件夹共享，因而这种文件夹名称可供自然环境中的全部客户浏览。伴随着时光流逝，这种文件夹名称会积累许多攻击者很感兴趣的文档和脚本 *** 。一旦攻击者访问 ，大家就会有很有可能根据这种文件夹名称对攻击者开展跳转。而单用户规定访问 此文件夹名称的状况非常少见。

小结

文中关键或是毛遂自荐，期待根据本人思索让大伙儿见到主动防御的真实使用价值。

参照来源于：

https://www. *** okescreen.io/four-mitre-shield-techniques-you-can-implement-in-2021/