__FRONTMATTER_108_# Atomic Red Team
Atomic Red Team è una libreria di test mappati al framework MITRE ATT&CK che i team di sicurezza possono utilizzare per testare rapidamente, portabilmente e riproducibilmente i loro ambienti.
Installazione e configurazione¶
Tabella_109_
Uso di base¶
Tabella_110
Test Discovery¶
Tabella_111
MITRE ATT&CK # Tecniche¶
Initial Access_TABLE_112___¶
Execution_TABLE_113___¶
Persistent¶
| Command | Description |
|---|---|
| INLINE_CODE_28 | Registry Run Keys |
| INLINE_CODE_29 | Scheduled Task |
| INLINE_CODE_30 | Windows Service |
| INLINE_CODE_31 | Local Account creation |
| INLINE_CODE_32 | Account Manipulation |
| _ | |
| # Escalation dei prezzi Tabella_115_ | |
| # Difesa Evasione_Tabella_116___ | |
| ### Credential Access | |
| Command | Description |
| --------- | ------------- |
| INLINE_CODE_42 | LSASS Memory dump |
| INLINE_CODE_43 | Security Account Manager |
| INLINE_CODE_44 | NTDS.dit |
| INLINE_CODE_45 | Password Spraying |
| INLINE_CODE_46 | Credentials from Web Browsers |
| _ | |
| # Discovery | |
| Command | Description |
| --------- | ------------- |
| INLINE_CODE_47 | Local Account Discovery |
| INLINE_CODE_48 | Domain Account Discovery |
| INLINE_CODE_49 | Remote System Discovery |
| INLINE_CODE_50 | File and Directory Discovery |
| INLINE_CODE_51 | Process Discovery |
Lateral Movement¶
| Command | Description |
|---|---|
| INLINE_CODE_52 | Remote Desktop Protocol |
| INLINE_CODE_53 | SMB/Windows Admin Shares |
| INLINE_CODE_54 | Distributed Component Object Model |
| INLINE_CODE_55 | Windows Remote Management |
| INLINE_CODE_56 | Pass the Hash |
| _ | |
| ### Collection_TABLE_120___ | |
| ## Comando e controllo_Tabella_121___ | |
| ### Exfiltrazione_TABLE_122___ | |
| ### Impact_TABLE_123___ | |
| ## Uso avanzato |
Parametri personalizzati_Tabella_124__¶
Esecuzione batch_Tabella_125__¶
Registrazione e output_TABLE_126___¶
Configurazione¶
Config File (config.yaml)¶
Traduzione:
Ambiente Variabili_TABLE_127___¶
Linux/macOS Utilizzo¶
Installation¶
| Command | Description |
|---|---|
| INLINE_CODE_83 | Clone repository |
| INLINE_CODE_84 | Navigate to directory |
| INLINE_CODE_85 | Make scripts executable |
| _ | |
| ### Execution_TABLE_129__ | |
| ## Integrazione con SIEM |
Integrazione Splunk¶
| Command | Description |
|---|---|
| INLINE_CODE_89 | Log to Splunk |
| INLINE_CODE_90 | Search Splunk for test results |
| _ | |
| ### ELK Integrazione dello Stack_TABLE_131___ | |
| ## Sviluppo di test personalizzato |
Struttura di prova¶
Traduzione:
Custom Esecuzione del test_Tabella_132__¶
Reporting and Analysis¶
Tabella_133_
Automation and Scheduling¶
Power Shell pianificato Lavoro¶
Traduzione:
Test continuo_TABLE_134___¶
Considerazioni di sicurezza¶
- Eseguire test solo in ambienti isolati
- Assicurare una corretta pulizia dopo l'esecuzione del test
- Monitorare i falsi positivi negli strumenti di sicurezza
- Documentare tutte le esecuzioni di prova per la conformità
- Utilizzare meno principi privilegi
- Implementare controlli di accesso adeguati
- Backup regolare prima del test
- Coordinare con il centro operazioni di sicurezza
Migliori Pratiche¶
- Inizia con tecniche a basso impatto
- Eseguire sempre controlli prerequisiti prima
- No. Utilizzare le funzioni di pulizia dopo i test
- Risultati e osservazioni dei documenti
- Coordinate con le attività del team blu
- No. Test in ambienti non produttivi prima
- Esecuzione corretta registrazione e monitoraggio
- Aggiornamenti regolari alla libreria di test
- Validare le capacità di rilevamento
- Crea test personalizzati per ambienti specifici
Risoluzione dei problemi¶
Tabella_135_
Questioni comuni¶
- Interferenza antivirus con esecuzione test
- Prerequisiti mancanti o dipendenze
- privilegi insufficienti per l'esecuzione dei test
- Problemi di connettività di rete per le risorse esterne
- Problemi relativi al percorso su diversi sistemi operativi