이번 글에서는 MITRE ATT&CK v19 (2026년 4월 28일 공개)와 Sigma Rule을 매핑해 위협 커버리지를 체계적으로 구축하는 방법을 정리해드리겠습니다.

ATT&CK v19는 Defense Evasion (TA0005)을 Stealth (TA0005)와 Defense Impairment (TA0112)로 분리하며, AI 관련 기술과 ICS/모바일 확장을 추가했습니다.

SigmaHQ 태그를 v19 구조에 맞춰 매핑하고, Navigator로 갭 분석하는 실전 워크플로를 중점으로 설명드리겠습니다.

 

◎ ATT&CK v19 주요 변화와 Sigma 영향

 - 주요 업데이트

  • Defense Evasion 분리: Stealth (TA0005, 숨김 행위), Defense Impairment (TA0112, 방어 장애).
  • 신규 기술: Generate Content, Query Public AI Services (AI 공격).
  • ICS/모바일 강화: 18개 ICS 서브기술, 모바일 77개 기술.
  • 위협 그룹: 178개 그룹, 59개 캠페인.

 

 - Sigma 영향:

  • TA0005 태그 룰 → Stealth 재매핑.
  • v19 Navigator JSON 업데이트.
  • SigmaGen AI로 자동 태그 조정.

 

 - Sigma 태그는 attack.stealth, attack.defense_impairment로 업데이트.

◎ Sigma 태그 작성법 (v19 호환)

 - Sigma Specification Tags_specification.md 기준

- attack.stealth                 # 신규 TA0005
- attack.t1562.001              # Impair Defenses - Disable Tools
- attack.execution
- attack.t1059.001              # PowerShell (유지)

 

 - v19 예시

title: AI Service Query (v19)
tags:
  - attack.command_and_control
  - attack.t1071.004            # Application Layer Protocol: LLM Query
  - attack.g0027                # Threat Group
level: high

 

 - 권장

  • 전술(TA) + 기술(T): attack.tactic.stealth.
  • 서브기술 우선.
  • CAR 연계: car.2024-01-001.

 

◎ 매핑 실전 예제

 - Stealth (v19 신규, 이전 Defense Evasion)

title: Masquerading Process Name
tags:
  - attack.stealth              # v19 TA0005
  - attack.t1036.005            # Masquerading: Match Legitimate Name
detection:
  selection:
    Image|endswith: 'svchost.exe'
    OriginalFileName: 'malware.exe'

 

 - Defense Impairment (v19 신규)

title: Disable Windows Defender
tags:
  - attack.defense_impairment    # v19 TA0112
  - attack.t1562.001            # Disable Tools
logsource:
  category: process_creation
detection:
  selection:
    Image|endswith: '\powershell.exe'
    CommandLine|contains: 'Set-MpPreference'

 

 - AI 관련 (신규)

title: Query Public AI Service
tags:
  - attack.discovery
  - attack.t1595.004            # Active Scanning: LLM Query
detection:
  selection:
    http_user_agent|contains: 'gpt-4'

 

◎ 커버리지 분석 도구 (v19 지원)

 - S2AN

./S2AN -d rules/ -w --framework v19  # v19 Navigator 레이어
  • Sigma → ATT&CK 매핑.
  • 갭/오분류 감지.

 

 - Atomic Threat Coverage (ATC)

atc generate --rules-dir sigma/rules/ --platform windows --framework v19
  • v19 프로필 생성.

 

 - Sigma CLI

sigma check --coverage rules/ --framework v19

 

 - SigmaGen AI

  • v19 태그 자동 생성.
  • 20K+ 룰 학습.

 

 - Uncoder AI로 태그 자동화.

 

◎ v19 커버리지 구축 워크플로

 - v19 Navigator 업데이트

# ATT&CK Navigator 다운로드 (v19)
# S2AN JSON 업로드

 

 - 갭 분석

grep -r "attack.defense_evasion" rules/ | sed 's/defense_evasion/stealth/g'  # TA0005 재매핑

 

 - 우선순위

  • 신규 TA: Stealth, Defense Impairment.
  • AI/ICS: T1595.004, ICS 서브기술.
  • High Impact: T1078 Valid Accounts (항상 상위).

 

 - 규칙 업데이트

# 기존 Defense Evasion → v19
tags:
  - attack.stealth              # Masquerading
  - attack.defense_impairment   # Disable AV

 

 - 검증

sigma validate --framework v19 rules/
S2AN -d rules/updated/

 

◎ 태그 베스트 프랙티스 (v19)

 - v19 호환:

tags:
  - attack.stealth
  - attack.t1036.005
  - attack.defense_impairment
  - attack.t1562.001
  - car.2026-01-001  # v19 CAR

 

 - v19 변화 처리

# 스크립트: TA0005 → Stealth/Impairment 분기
if grep "attack.defense_evasion"; then
  sed 's/defense_evasion/stealth/'  # 기본 Stealth
fi

 

 - 다중 플랫폼

- attack.execution
- attack.t1059.001      # Windows PowerShell
- attack.t1059.004      # Unix Shell

 

◎ 자동화와 리포팅

 - GitHub Actions v19

jobs:
  attck-v19:
    steps:
      - run: wget https://raw.githubusercontent.com/mitre-attack/attack-stix-data/master/enterprise-attack/enterprise-attack.json
      - run: S2AN -d rules/ -f enterprise-attack.json

 

 - 대시보드

  • Grafana: SELECT COUNT(*) FROM sigma_rules WHERE tags LIKE '%attack.stealth%'.
  • Elastic: ATT&CK 히트맵 v19 업데이트.

  > SigmaGen으로 v19 갭 자동 채우기.

◎ v19 갭 채우기 전략

 - Navigator v19 분석

  • 빨간: Stealth (T1036 Masquerading).
  • ICS: 18개 신규 서브기술.

 

 - SigmaHQ v19 검색

SigmaHQ/sigma$ grep -r "attack.stealth" rules/

 

 - AI 태깅

  • Uncoder: v19 학습 모델.

  > 목표: v19 Enterprise 75%+ 커버리지.

  > v19 행렬에서 Stealth/Impairment 갭 채우기.

 

◎ 마무리

  • ATT&CK v19와 Sigma 매핑은 탐지 체계를 재정비하는 기회입니다. 
  • Stealth/Impairment 분리, AI 기술 대응으로 v19 호환 태그 적용하고 S2AN으로 갭 분석하세요.

 

 

 

반응형
저작자표시 비영리 동일조건 (새창열림)

'IT > Sigma Rule' 카테고리의 다른 글

[Sigma Rule] 제14화: 단일 로그의 한계를 넘는 메타 룰(Meta Rule)과 상관분석  (0) 2026.05.05
[Sigma Rule] 제13화: "알람 지옥에서 탈출하라!" 오탐(False Positive) 튜닝의 기술  (0) 2026.05.04
[Sigma Rule] 제11화: ArcSight 환경에서 Sigma 활용하기  (0) 2026.05.02
[Sigma Rule] 제10화: QRadar 환경에서 Sigma 활용하기  (0) 2026.05.01
[Sigma Rule] 제9화: Elastic 및 MS Sentinel 환경에서 Sigma 활용하기  (0) 2026.04.30

+ Recent posts

티스토리툴바