[ATT&CK系列-工具使用类]使用Navigator的所有姿势~(ATT&CK框架可视化与DIY)
字数 3960 2025-08-22 12:22:48

MITRE ATT&CK Navigator 使用指南

1. 基本介绍

MITRE ATT&CK Navigator 是一个用于可视化 ATT&CK 矩阵的工具,主要功能包括:

  • 提供 ATT&CK 矩阵的基本导航和注释
  • 可视化防守覆盖范围、红/蓝队计划、检测到的技术的频率等
  • 允许操作 ATT&CK 矩阵中的单元格(颜色编码、添加注释、分配数值等)
  • 支持用户定义图层,显示特定平台的技术或突出显示特定对手拥有的技术

2. 安装与配置

2.1 本地搭建

  1. 克隆项目仓库:

    git clone https://github.com/mitre-attack/attack-navigator.git

  2. 安装 Angular CLI(需要管理员权限):

    npm install -g @angular/cli

  3. 进入 nav-app 目录并安装依赖:

    cd attack-navigator/nav-app
npm install

  4. 启动开发服务器:

    ng serve

    默认访问地址:http://localhost:4200

2.2 官网使用

在 MITRE ATT&CK 官网中,大部分攻击组织、软件的描述界面都会附带 Navigator 视图,可以直接点击"view"进入或通过"download"下载 JSON 文件。

3. 图层操作

3.1 创建新图层

  1. 点击"Create New Layer"下拉菜单

  2. 选择技术领域:

    • Enterprise(企业)
    • Mobile(移动)
    • ICS(工控)

  3. 创建方式:

    • 通过版本创建:选择 ATT&CK 版本(v4-v14)
    • 通过整合包创建:输入 Collection 或 STIX bundle URL

3.2 图层保存与加载

保存图层:

  1. 点击"Save Layer"按钮
  2. 选择导出格式:
    • 将单层下载为 JSON
    • 将所有图层下载为 JSON
    • 导出为 Excel 格式
    • 导出为 SVG 格式
    • 仅下载可见技术的注释

加载图层:

  1. 点击"Open Existing Layer"
  2. 选择加载方式:
    • 从本地上传 JSON 文件
    • 从远程 URL 加载

3.3 图层升级

可以将旧版本 ATT&CK 创建的图层升级到当前版本:

  1. 查看新增的技术
  2. 检查已注释技术的变更
  3. 处理已被删除或替换的技术
  4. 验证未更改的技术

3.4 从其他图层创建

可以创建继承其他图层属性的新图层,可继承的属性包括:

  • 属性域(Domain)
  • 分数表达式(Score Expression)
  • 渐变(Gradient)
  • 着色(Coloring)
  • 注释(Comments)
  • 链接(Link)
  • 元数据(Metadata)
  • 状态(States)
  • 过滤器(Filters)
  • 图例(Legend)

4. 图层控件详解

4.1 图层信息(Layer Information)

  • 图层名称:显示在选项卡标题中
  • 描述:图层的简要说明
  • 元数据:支持其他应用程序的描述性字段
  • 链接:提供相关网站的额外上下文

4.2 排序模式(Sorting)

四种排序模式:

  1. A-Z:按名称字母顺序升序
  2. Z-A:按名称字母顺序降序
  3. 1-2:分数按升序排列(未评分视为0)
  4. 2-1:分数按降序排列(未评分视为0)

4.3 过滤选项(Filtering)

不同技术领域关联的平台:

Enterprise:

  • PRE, Windows, Linux, macOS, Network
  • AWS, GCP, Azure, Azure AD
  • Office 365, SaaS

Mobile:

  • Android, iOS

ICS:

  • Windows, Control Server, Data Historian

4.4 颜色配置(Color Setup)

战术背景颜色配置:

  • 仅当选中"Show"复选框时显示颜色
  • 迷你视图中不显示战术行背景

评分梯度颜色设置(Scoring Gradient):

  • 预设多个渐变选项
  • 可自定义添加和删除颜色
  • 对于二进制分数(0或1),可将0设为透明

4.5 隐藏禁用的技术(Hiding Disabled Techniques)

  • 切换"隐藏已禁用"按钮可隐藏已禁用的技术
  • 隐藏的技术仍存在于数据中,可进行注释
  • 与多选界面协同使用效果强大

4.6 显示/隐藏子技术(Showing/Hiding Sub-techniques)

三个选项:

  1. 展示子技术
  2. 全部带注释
  3. 隐藏子技术

4.7 布局配置(Layout)

三种布局样式:

Side样式:

  • 右侧显示侧边栏
  • 点击战术在右侧显示子技术

Flat样式:

  • 左侧定位的侧边栏
  • 点击战术在下方显示子技术

Mini样式:

  • 减小尺寸以容纳更多技术
  • 删除文本,技术可视化为正方形
  • 禁用"show IDs"和"show Names"控件

4.8 标签(Labels)

在侧面和平面布局中可配置:

  • Show Name(默认启用):显示技术和战术名称
  • Show IDs(默认禁用):显示 ATT&CK ID(如T1000)

4.9 分数聚合设置(Aggregate Scores)

选项:

  • 显示或隐藏总分
  • 计算未计分技术(默认不包括在总分计算中)

聚合函数:

  • average:技术分数的平均值
  • min:取最低分数
  • max:取最高分数
  • sum:加和所有分数

4.10 图例设置(Legend Bar)

功能:

  • 关联自定义技术的颜色和含义
  • 添加/清除图例项目
  • 更改项目颜色(十六进制值)
  • 修改项目标签
  • 图例项目会保存到图层文件中

5. 技术控件详解

5.1 禁用技术(Disabling Techniques)

  • 切换"启用/禁用"状态
  • 禁用状态时,技术文本将灰显
  • 结合"隐藏禁用的技术"按钮使用

5.2 颜色设置

  • 手动为技术分配颜色
  • 手动分配的颜色会取代按分数创建的颜色
  • 选择"no color"框可删除手动分配颜色

5.3 分数设置(Scoring)

  • 分数是用户自定义的数值
  • "unscored"和零分不同
  • 删除分数值可使技术恢复为未评分
  • 根据分数自动分配颜色(基于图层控件中的颜色配置)

5.4 注释配置(Comment)

  • 为技术添加文本注释
  • 带有注释的技术会显示黄色下划线
  • 元数据或导入数据源带有信息时也会有黄色下划线

5.5 链接设置(Link)

  • 为技术分配链接(需包含协议标识符如"https://")
  • 可添加多个链接
  • 链接显示在右键上下文菜单中
  • 带有链接的技术显示蓝色下划线

5.6 元数据设置(Metadata)

  • 为技术添加元数据(名称和值)
  • 元数据显示在技术提示中
  • 带有元数据的技术显示黄色下划线

5.7 清除配置内容(Clear)

  • 从所有选定的技术中删除:
    • 注释
    • 链接
    • 元数据
    • 颜色
    • 分数
    • 启用/禁用状态

6. 选择控件详解

6.1 通过鼠标选择

  • 左键单击:选择技术
  • Control/Command/Shift:多选
  • 右键单击:弹出上下文菜单

右键菜单选项:

  • select:只选择该技术
  • add to selection:添加到选择组
  • remove from selection:从选择组移除
  • select all:选择所有技术
  • deselect all:取消选择所有技术
  • invert selection:反转选择
  • select annotated:选择所有有注释的技术
  • select unannotated:选择所有无注释的技术
  • select all techniques in tactic:选择此战术中所有技术
  • deselect all techniques in tactic:取消选择此战术中所有技术
  • view technique:查看技术详细信息
  • view tactic:查看战术详细信息
  • user assigned links:查看分配给该技术的链接列表

6.2 行为选择(Selection Behavior)

三个选项:

  1. Select techniques across tactics:是否跨战术选择技术
  2. Select sub-techniques with parent:子技术是否与其父项一起选择
  3. Select only visible techniques:是否仅选择可见技术

6.3 搜索与多选

搜索设置:

  • 可搜索字段:名称、ATT&CK ID、描述和数据源

对象列表(企业领域):

  1. Techniques(技术):

    • 所有625个技术
    • 可按字母顺序或搜索查询匹配

  2. Threat Groups(威胁组织):

    • 141个威胁组织采用的所有技术

  3. 软件:

    • 恶意软件或工具(648个)
    • 选中该软件使用的所有技术

  4. Mitigations(缓解措施):

    • 防止技术成功执行的方法
    • 选中某缓解措施对应的所有技术

  5. Campaigns(活动):

    • 特定时期的入侵活动集合(23个)

  6. Data Sources(数据源):

    • 传感器/日志可收集的信息(约109个)

  7. Assets(资产):

    • ICS环境中的设备和系统

7. 实用技巧

  1. 创建只有注释的技术列表:

    • 使用"select unannotated"
    • 禁用这些技术
    • 隐藏禁用技术

  2. 二进制分数设置:

    • 将0的低值设置为透明
    • 将1的高值设置为其他颜色
    • 仅对值为1的技术进行着色

  3. 批量操作:

    • 使用多选界面选择符合条件的技术
    • 禁用它们
    • 打开隐藏禁用的技术以删除整个组

  4. 图层升级时:

    • 使用"仅显示注释技术"过滤器
    • 通过拖放复制注释到当前版本

  5. 自定义创建:

    • 使用"add a layer link"指定默认图层URL
    • 可添加多个默认图层
    • 可禁用特定控件

8. 总结

MITRE ATT&CK Navigator 是一个功能强大的 ATT&CK 矩阵可视化工具,通过本文的系统介绍,您应该能够:

  1. 完成 Navigator 的本地搭建和配置
  2. 创建、保存和加载各种类型的图层
  3. 熟练使用图层控件、技术控件和选择控件
  4. 对 ATT&CK 矩阵进行各种自定义操作
  5. 应用各种实用技巧提高工作效率

建议在实际工作中多加练习,结合具体的安全分析需求灵活运用 Navigator 的各项功能。

MITRE ATT&CK Navigator 使用指南 1. 基本介绍 MITRE ATT&CK Navigator 是一个用于可视化 ATT&CK 矩阵的工具,主要功能包括: 提供 ATT&CK 矩阵的基本导航和注释 可视化防守覆盖范围、红/蓝队计划、检测到的技术的频率等 允许操作 ATT&CK 矩阵中的单元格(颜色编码、添加注释、分配数值等) 支持用户定义图层,显示特定平台的技术或突出显示特定对手拥有的技术 2. 安装与配置 2.1 本地搭建 克隆项目仓库: 安装 Angular CLI(需要管理员权限): 进入 nav-app 目录并安装依赖: 启动开发服务器: 默认访问地址: http://localhost:4200 2.2 官网使用 在 MITRE ATT&CK 官网中,大部分攻击组织、软件的描述界面都会附带 Navigator 视图,可以直接点击"view"进入或通过"download"下载 JSON 文件。 3. 图层操作 3.1 创建新图层 点击"Create New Layer"下拉菜单 选择技术领域: Enterprise(企业) Mobile(移动) ICS(工控) 创建方式: 通过版本创建:选择 ATT&CK 版本(v4-v14) 通过整合包创建:输入 Collection 或 STIX bundle URL 3.2 图层保存与加载 保存图层: 点击"Save Layer"按钮 选择导出格式: 将单层下载为 JSON 将所有图层下载为 JSON 导出为 Excel 格式 导出为 SVG 格式 仅下载可见技术的注释 加载图层: 点击"Open Existing Layer" 选择加载方式: 从本地上传 JSON 文件 从远程 URL 加载 3.3 图层升级 可以将旧版本 ATT&CK 创建的图层升级到当前版本: 查看新增的技术 检查已注释技术的变更 处理已被删除或替换的技术 验证未更改的技术 3.4 从其他图层创建 可以创建继承其他图层属性的新图层,可继承的属性包括: 属性域(Domain) 分数表达式(Score Expression) 渐变(Gradient) 着色(Coloring) 注释(Comments) 链接(Link) 元数据(Metadata) 状态(States) 过滤器(Filters) 图例(Legend) 4. 图层控件详解 4.1 图层信息(Layer Information) 图层名称:显示在选项卡标题中 描述:图层的简要说明 元数据:支持其他应用程序的描述性字段 链接:提供相关网站的额外上下文 4.2 排序模式(Sorting) 四种排序模式: A-Z:按名称字母顺序升序 Z-A:按名称字母顺序降序 1-2:分数按升序排列(未评分视为0) 2-1:分数按降序排列(未评分视为0) 4.3 过滤选项(Filtering) 不同技术领域关联的平台: Enterprise: PRE, Windows, Linux, macOS, Network AWS, GCP, Azure, Azure AD Office 365, SaaS Mobile: Android, iOS ICS: Windows, Control Server, Data Historian 4.4 颜色配置(Color Setup) 战术背景颜色配置: 仅当选中"Show"复选框时显示颜色 迷你视图中不显示战术行背景 评分梯度颜色设置(Scoring Gradient): 预设多个渐变选项 可自定义添加和删除颜色 对于二进制分数(0或1),可将0设为透明 4.5 隐藏禁用的技术(Hiding Disabled Techniques) 切换"隐藏已禁用"按钮可隐藏已禁用的技术 隐藏的技术仍存在于数据中,可进行注释 与多选界面协同使用效果强大 4.6 显示/隐藏子技术(Showing/Hiding Sub-techniques) 三个选项: 展示子技术 全部带注释 隐藏子技术 4.7 布局配置(Layout) 三种布局样式: Side样式: 右侧显示侧边栏 点击战术在右侧显示子技术 Flat样式: 左侧定位的侧边栏 点击战术在下方显示子技术 Mini样式: 减小尺寸以容纳更多技术 删除文本,技术可视化为正方形 禁用"show IDs"和"show Names"控件 4.8 标签(Labels) 在侧面和平面布局中可配置: Show Name(默认启用):显示技术和战术名称 Show IDs(默认禁用):显示 ATT&CK ID(如T1000) 4.9 分数聚合设置(Aggregate Scores) 选项: 显示或隐藏总分 计算未计分技术(默认不包括在总分计算中) 聚合函数: average:技术分数的平均值 min:取最低分数 max:取最高分数 sum:加和所有分数 4.10 图例设置(Legend Bar) 功能: 关联自定义技术的颜色和含义 添加/清除图例项目 更改项目颜色(十六进制值) 修改项目标签 图例项目会保存到图层文件中 5. 技术控件详解 5.1 禁用技术(Disabling Techniques) 切换"启用/禁用"状态 禁用状态时,技术文本将灰显 结合"隐藏禁用的技术"按钮使用 5.2 颜色设置 手动为技术分配颜色 手动分配的颜色会取代按分数创建的颜色 选择"no color"框可删除手动分配颜色 5.3 分数设置(Scoring) 分数是用户自定义的数值 "unscored"和零分不同 删除分数值可使技术恢复为未评分 根据分数自动分配颜色(基于图层控件中的颜色配置) 5.4 注释配置(Comment) 为技术添加文本注释 带有注释的技术会显示黄色下划线 元数据或导入数据源带有信息时也会有黄色下划线 5.5 链接设置(Link) 为技术分配链接(需包含协议标识符如"https://") 可添加多个链接 链接显示在右键上下文菜单中 带有链接的技术显示蓝色下划线 5.6 元数据设置(Metadata) 为技术添加元数据(名称和值) 元数据显示在技术提示中 带有元数据的技术显示黄色下划线 5.7 清除配置内容(Clear) 从所有选定的技术中删除: 注释 链接 元数据 颜色 分数 启用/禁用状态 6. 选择控件详解 6.1 通过鼠标选择 左键单击:选择技术 Control/Command/Shift:多选 右键单击:弹出上下文菜单 右键菜单选项: select:只选择该技术 add to selection:添加到选择组 remove from selection:从选择组移除 select all:选择所有技术 deselect all:取消选择所有技术 invert selection:反转选择 select annotated:选择所有有注释的技术 select unannotated:选择所有无注释的技术 select all techniques in tactic:选择此战术中所有技术 deselect all techniques in tactic:取消选择此战术中所有技术 view technique:查看技术详细信息 view tactic:查看战术详细信息 user assigned links:查看分配给该技术的链接列表 6.2 行为选择(Selection Behavior) 三个选项: Select techniques across tactics:是否跨战术选择技术 Select sub-techniques with parent:子技术是否与其父项一起选择 Select only visible techniques:是否仅选择可见技术 6.3 搜索与多选 搜索设置: 可搜索字段:名称、ATT&CK ID、描述和数据源 对象列表(企业领域): Techniques(技术): 所有625个技术 可按字母顺序或搜索查询匹配 Threat Groups(威胁组织): 141个威胁组织采用的所有技术 软件: 恶意软件或工具(648个) 选中该软件使用的所有技术 Mitigations(缓解措施): 防止技术成功执行的方法 选中某缓解措施对应的所有技术 Campaigns(活动): 特定时期的入侵活动集合(23个) Data Sources(数据源): 传感器/日志可收集的信息(约109个) Assets(资产): ICS环境中的设备和系统 7. 实用技巧 创建只有注释的技术列表: 使用"select unannotated" 禁用这些技术 隐藏禁用技术 二进制分数设置: 将0的低值设置为透明 将1的高值设置为其他颜色 仅对值为1的技术进行着色 批量操作: 使用多选界面选择符合条件的技术 禁用它们 打开隐藏禁用的技术以删除整个组 图层升级时: 使用"仅显示注释技术"过滤器 通过拖放复制注释到当前版本 自定义创建: 使用"add a layer link"指定默认图层URL 可添加多个默认图层 可禁用特定控件 8. 总结 MITRE ATT&CK Navigator 是一个功能强大的 ATT&CK 矩阵可视化工具,通过本文的系统介绍,您应该能够: 完成 Navigator 的本地搭建和配置 创建、保存和加载各种类型的图层 熟练使用图层控件、技术控件和选择控件 对 ATT&CK 矩阵进行各种自定义操作 应用各种实用技巧提高工作效率 建议在实际工作中多加练习,结合具体的安全分析需求灵活运用 Navigator 的各项功能。