ttp-attribution command

[nishikawaakira]

攻撃者グループには使用する攻撃の特徴があるので、検知した結果、攻撃者がどの攻撃者グループに似ているのか表示したい
攻撃者と利用する攻撃は下記サイトを参考に、json情報が存在する。
https://mitre-attack.github.io/attack-navigator/v3/enterprise/

[hitenkoku]

打合せメモ:MITREのAPIを呼び出すPythonのプログラムがあるのでそれを利用するとなるとPythonで作成？

[hitenkoku]

打合せメモ:
<仕様っぽいもの> https://attackcti.com/playground/7-Export_Groups_Navigator_Layers.html#get-relationship-stix-objects-manual のライブラリを活用して、Technique IDを引数として渡したら、合致するグループの名前とそのグループのMITRE ATT&CKのページのURLを出力する。
複数のTechnique があった場合はAND条件ではなく、それぞれの引数に対して合致するグループの名前とURLを出力する。

[hitenkoku]

担当者再調整のため、アサインを解除

[hitenkoku]

打ち合わせ内で以下の機能についても要望があったのでissueを分けます。

---

hayabusaが出力したcsv情報をもとに、technique番号をMITRE ATTCKのheatmapで投入できる形のJSONファイルを出力するようにしたい。

https://mitre-attack.github.io/attack-navigator/v3/enterprise/

[hitenkoku]

hayabusa-tools側で作成するためissueをtransferしました

[YamatoSecurity]

I am going to change this to adding a ttp-attribution command that will try to give a kind of attribution based on TTPs. (Of course it will never be highly accurate but could be useful as one data point during attribution.)
I will explain more in details later.