MITRE ATT&CK’in Amacı ve Kullanım Alanları;
- Saldırgan Bakış Açısını Modelleme: Siber saldırganların gerçek dünyada kullandığı taktik ve teknikleri analiz ederek savunma mekanizmalarının bu bakış açısına göre yapılandırılmasını sağlar.
- Tehdit Aktörü Emülasyonu: Bilinen tehdit gruplarının teknikleri kullanılarak saldırı senaryoları oluşturulur ve mevcut savunma kontrollerinin etkinliği test edilir.
- Kırmızı Ekip (Red Team) Çalışmaları: Siber güvenlik tatbikatlarında saldırı ve savunma ekiplerinin rollerini netleştirerek güvenlik seviyesinin ölçülmesine yardımcı olur.
- Tehdit Avcılığı (Threat Hunting): Bilinmeyen veya henüz tespit edilmemiş tehditlerin davranışsal analizler yoluyla ortaya çıkarılmasını destekler.
- Olaylara Müdahale (Incident Response): Saldırıların hangi aşamada olduğunu belirleyerek hızlı ve etkili müdahale edilmesini sağlar.
- Savunma Boşluklarının Belirlenmesi: Mevcut güvenlik önlemlerindeki eksiklikleri tespit ederek yatırım ve iyileştirme önceliklerinin belirlenmesine katkı sunar.
- SOC Olgunluk Değerlendirmesi: Güvenlik operasyon merkezlerinin tespit, analiz ve müdahale yetkinliklerinin ölçülmesini sağlar.
- Tehdit İstihbaratını Zenginleştirme: Saldırgan grupların kullandığı araçlar, teknikler ve prosedürler hakkında detaylı analiz yapılmasına olanak tanır.
- Risk Değerlendirme ve Yönetimi: Güvenlik kontrollerinin tehditlere karşı etkinliği ölçülerek risk yönetimi süreçlerinin iyileştirilmesini sağlar.
- Siber Güvenlik Eğitimi ve Farkındalık: Güvenlik ekiplerinin bilgi seviyesini artırmak ve eğitim içeriklerini zenginleştirmek için referans çerçeve olarak kullanılır.
MITRE ATT&CK Matrisleri
MITRE ATT&CK çerçevesi, siber tehditlerin faaliyet gösterdiği farklı ortamları kapsayacak şekilde birden fazla matrise ayrılmıştır. Bu matrisler, saldırganların kullandığı taktik, teknik ve prosedürleri (TTP) sistematik bir yapıda sunarak güvenlik ekiplerinin tehditleri analiz etmesine ve uygun savunma stratejileri geliştirmesine yardımcı olur.
Enterprise ATT&CK Matrisi:
En kapsamlı matristir ve Windows, macOS, Linux ile bulut ortamlarını kapsar. İlk erişimden komuta-kontrol ve veri sızdırmaya kadar saldırı yaşam döngüsünün tüm aşamalarını içeren taktik ve teknikleri barındırır. Kurumsal ağların korunması ve güvenlik olgunluğunun artırılması için temel referanstır.
Mobile ATT&CK Matrisi:
Android ve iOS işletim sistemlerini hedef alan tehditlere odaklanır. Mobil cihazlara özgü saldırı tekniklerini ele alarak kimlik bilgisi hırsızlığı, ağ istismarı ve mobil zararlı yazılımlar gibi risklerin analiz edilmesini sağlar.
ICS ATT&CK Matrisi:
SCADA, DCS ve PLC gibi endüstriyel kontrol sistemlerine yönelik siber tehditleri kapsar. Kritik altyapıları hedef alan saldırı tekniklerini inceleyerek endüstriyel süreçlerin güvenliğini sağlamaya yönelik savunma stratejilerinin geliştirilmesine katkı sunar.
MITRE ATT&CK matrisleri, saldırıların tüm aşamalarını görselleştiren yapısı sayesinde potansiyel tehditlerin daha kolay analiz edilmesini sağlar ve farklı ortamlara yönelik etkili siber güvenlik yaklaşımlarının oluşturulmasında önemli bir rol oynar.

SIEM ve SOC Süreçlerinde MITRE ATT&CK Kullanımı
SIEM ve SOC Süreçlerinde MITRE ATT&CK Kullanımı
MITRE ATT&CK, SOC ekiplerinin SIEM üzerinden üretilen log ve alarmları standart bir saldırı tekniği diliyle analiz etmesini sağlar. SIEM’e düşen her alarm, ilgili ATT&CK teknik ID (Txxxx) ile eşleştirilerek saldırının hangi aşamada olduğu belirlenir.
SOC süreçlerinde ATT&CK kullanımı şu adımlarla gerçekleşir:
- SIEM kuralları ATT&CK tekniklerine göre etiketlenir
- Alarmlar taktik bazlı (Execution, Persistence, Lateral Movement vb.) sınıflandırılır
- Aynı saldırıya ait farklı teknikler korele edilir
- Eksik tespit edilen teknikler üzerinden detection gap analizi yapılır
Bu yaklaşım sayesinde SOC ekipleri:
- Olayları daha hızlı önceliklendirir
- APT benzeri çok aşamalı saldırıları daha net görür
- Use case kapsamını ölçülebilir şekilde geliştirir
MITRE ATT&CK entegrasyonu, SIEM ve SOC operasyonlarında görünürlük, tutarlılık ve olgunluk seviyesi kazandırır.
MITRE ATT&CK ile Log ve Alarm Analizi
MITRE ATT&CK, güvenlik loglarının ve SIEM alarmlarının davranış temelli analiz edilmesini sağlar. Loglarda tespit edilen her şüpheli aktivite, ilgili ATT&CK tekniği (Txxxx) ile eşleştirilerek anlamlandırılır.
Log ve alarm analiz süreci şu şekilde ilerler:
- Log kaynağı belirlenir (EDR, Windows Event, Firewall, Proxy vb.)
- Şüpheli davranış tespit edilir
- Davranış, uygun ATT&CK tekniği ile eşleştirilir
- Alarm, ait olduğu taktik altında sınıflandırılır
- Aynı saldırıya ait farklı teknikler korele edilir
Bu yaklaşım sayesinde:
- Tekil alarmlar saldırı zinciri içinde değerlendirilir
- Yanlış pozitif oranı düşürülür
- Çok aşamalı saldırılar daha erken fark edilir
MITRE ATT&CK tabanlı log ve alarm analizi, SOC ekiplerine teknik tutarlılık ve operasyonel görünürlük kazandırır.
Red Team ve Blue Team Çalışmalarında MITRE ATT&CK
MITRE ATT&CK, Red Team ve Blue Team faaliyetlerinde ortak bir teknik referans çerçevesi sağlar.
Red Team, saldırı simülasyonlarını ATT&CK teknikleri (Txxxx) üzerinden planlarken; Blue Team bu tekniklere karşı tespit ve savunma kabiliyetlerini test eder.
- Red Team: Gerçek saldırı tekniklerini ATT&CK matrisi üzerinden uygular
- Blue Team: Kullanılan teknikleri tespit edip alarm ve kontrol etkinliğini ölçer
- Sonuç: Savunma boşlukları (detection gap) net şekilde ortaya çıkar
Bu yaklaşım, saldırı ve savunma ekipleri arasında ölçülebilir, teknik ve standart bir değerlendirme imkânı sunar.

MITRE ATT&CK Framework Kullanırken Yapılan Yaygın Hatalar
- Yetersiz zaman ve kaynak ayırmak → Yüzeysel analiz
- Güncellemeleri takip etmemek → Eski veriler
- Farklı departman ve uzmanları sürece dahil etmemek → Dar bakış açısı
- Yanlış araç seçimi → Eksik/hatali sınıflandırma
- ATT&CK’i yüzeysel kullanmak → Kapsam eksikliği
- Tehdit istihbaratını göz ardı etmek → Bilgi eksikliği
- Savunma stratejilerini güncellememek → Zayıf önlemler
- Alt teknikleri göz ardı etmek → Detay eksikliği
- SIEM use case’lerini ATT&CK ID ile etiketlememek → Analiz boşluğu
- Detection gap analizi yapmamak → Tespit zayıflığı
SONUÇ
MITRE ATT&CK Framework, gerçek dünya siber saldırılarından derlenen taktik, teknik ve prosedürleri içeren ücretsiz bir bilgi tabanıdır. Kuruluşlar bu çerçeveyi kullanarak tehditleri analiz edebilir, riskleri değerlendirebilir ve savunma stratejilerini geliştirebilir. Framework, Enterprise (Windows, macOS, Linux, bulut), Mobile (iOS, Android) ve ICS (endüstriyel kontrol sistemleri) matrisleri sunar ve PRE-ATT&CK ile saldırı öncesi hazırlıkları kapsar. SOC ve SIEM süreçlerinde ATT&CK, log ve alarmları teknik ID’lerle eşleştirerek saldırı aşamalarını belirlemeyi ve eksikleri görmeyi sağlar. Yetersiz kaynak ayırmak, güncellemeleri takip etmemek ve yüzeysel kullanım ise çerçevenin değerini düşürür.
MITRE ATT&CK Framework Nedir?