Elastic Detection Rules项目：MITRE ATT&CK导航器平台过滤功能解析

背景介绍

在网络安全领域，MITRE ATT&CK框架作为威胁行为建模的重要工具，被广泛应用于安全检测规则的开发和管理。Elastic Detection Rules项目作为Elastic安全解决方案的核心组件，提供了与MITRE ATT&CK导航器的集成功能，使安全团队能够直观地查看和过滤检测规则。

当前功能分析

目前，Elastic Detection Rules项目中的MITRE ATT&CK导航器支持基于预定义平台列表的过滤功能。这些平台包括：

• Azure AD
• Containers
• Google Workspace
• IaaS
• Linux
• macOS
• Network
• Office 365
• PRE
• SaaS
• Windows

这些平台类型直接映射到MITRE ATT&CK企业矩阵中定义的标准平台分类。这种设计确保了与官方MITRE框架的一致性，但也限制了用户对特定云服务或SaaS应用（如OKTA、AWS等）的专门过滤需求。

技术实现原理

在底层实现上，项目通过navigator.py文件中的_DEFAULT_PLATFORMS列表定义了支持的平台类型。当生成导航器文件时，系统会根据这些平台类型对检测规则进行分类和组织。

值得注意的是，MITRE ATT&CK导航器本身并不支持动态添加新的平台类型。这意味着即使我们在代码中添加新的平台（如OKTA），这些新增平台也不会出现在官方导航器的平台过滤选项中。

替代解决方案

虽然无法直接在官方导航器中添加新的平台过滤器，但项目提供了以下替代方案：

1. 基于标签的专用导航器文件：

   • 系统会为每个特定标签（如okta）生成专用的JSON文件
   • 这些文件包含了只与该标签相关的检测规则

2. 使用本地导航器工具：

   • 用户可以下载专用的标签JSON文件
   • 通过MITRE ATT&CK导航器的本地版本加载这些文件
   • 实现特定于该标签的规则视图

最佳实践建议

对于需要查看特定平台（如OKTA）检测规则的用户，建议采用以下工作流程：

1. 访问MITRE ATT&CK导航器在线工具
2. 选择"Open Existing Layer"选项
3. 加载对应的专用JSON文件（可通过项目GIST获取）
4. 系统将自动显示与该平台相关的所有检测规则

对于SaaS类平台，用户也可以考虑使用现有的"SaaS"平台过滤器作为临时解决方案，虽然这会包含更广泛的规则范围。

未来展望

虽然当前受限于MITRE官方平台定义，但项目团队可以考虑以下增强方向：

1. 开发自定义的导航器视图生成工具
2. 提供更细粒度的平台子分类支持
3. 实现基于多维度（平台+标签）的复合过滤功能

这些改进将进一步提升安全团队在复杂多云环境中的规则管理效率。

通过本文的分析，我们希望帮助Elastic安全用户更好地理解和使用MITRE ATT&CK导航器功能，特别是在特定平台检测规则查看方面的最佳实践。