¿Qué es el ATT&CK Navigator?

Es una herramienta web open-source de MITRE que permite visualizar, anotar y personalizar la matriz ATT&CK. Se usa para crear heatmaps de cobertura defensiva, mapear las técnicas de un actor específico, comparar capas de detección, y generar visualizaciones para informes.

¿Puedo usarlo offline o self-hosted?

Sí. El Navigator está disponible como aplicación Angular en GitHub (mitre-attack/attack-navigator). Puedes desplegarlo en tu infraestructura interna. También hay una versión web pública en mitre-attack.github.io/attack-navigator.

¿Cómo mido la cobertura de mi SOC con Navigator?

Crea una capa donde asignas un score (0-100) a cada técnica según tu capacidad de detección: 0 = sin cobertura, 25 = detección parcial no probada, 50 = detección activa, 75 = detección probada, 100 = detección validada con emulación. El Navigator colorea automáticamente las celdas por score.

IntermedioMITRE ATT&CKNavigatorherramientascoberturaheatmap

ATT&CK Navigator: Uso Avanzado y Personalización

Guía práctica del ATT&CK Navigator: crear heatmaps de cobertura defensiva, comparar capas de amenazas, visualizar gaps, personalizar la matriz para tu organización, y exportar para informes y presentaciones.

MalwareIntel Research·27 de mayo de 2026·6 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 15

El ATT&CK Navigator transforma la matriz de una referencia teórica a una herramienta operativa

El ATT&CK Navigator es la herramienta de visualización oficial de MITRE para la matriz ATT&CK. Permite crear capas (layers) que colorean, anotan y puntúan técnicas, convertiendo la matriz en un dashboard interactivo de cobertura defensiva, mapeo de amenazas o priorización de inversiones.

Conceptos fundamentales

Layers (capas)

Una capa es un archivo JSON que define colores, scores, comentarios y metadatos para cada técnica de la matriz. Se pueden crear múltiples capas y superponerlas.

Tipos de capas comunes:

Tipo de capa	Propósito	Ejemplo
Cobertura defensiva	Qué técnicas detectamos	Verde = detectamos, Rojo = no
Threat actor	Técnicas que usa un grupo	APT28 techniques highlighted
Incident mapping	Técnicas observadas en un incidente	Técnicas del atacante coloreadas
Gap analysis	Comparar cobertura vs amenaza	Overlay: cobertura + actor
Tool coverage	Qué cubre cada herramienta	Sysmon capa + EDR capa
Priority	Priorización de nuevas detecciones	Score = impacto × probabilidad

Scores

Valor numérico (0-100) asignado a cada técnica. El Navigator mapea scores a colores automáticamente.

Escala recomendada para cobertura:

0:   Sin cobertura (rojo)
25:  Detección teórica, no implementada (naranja)
50:  Detección implementada, no probada (amarillo)
75:  Detección implementada y probada (verde claro)
100: Detección validada con emulación adversaria (verde oscuro)

Casos de uso prácticos

Caso 1: Medir cobertura del SOC

Exportar todas las reglas de tu SIEM (Sigma, Elastic, Splunk)
Mapear cada regla a su técnica ATT&CK correspondiente
Asignar score según calidad de la detección
Importar como layer en Navigator
Resultado: heatmap visual de tu cobertura

{
  "name": "SOC Coverage Q2 2026",
  "versions": {"attack": "15.1", "navigator": "5.0"},
  "techniques": [
    {
      "techniqueID": "T1059.001",
      "score": 75,
      "comment": "Script Block Logging + AMSI + Sigma rule SBL-001"
    },
    {
      "techniqueID": "T1003.001",
      "score": 100,
      "comment": "Sysmon Event 10 + EDR + validated with Atomic Red Team"
    },
    {
      "techniqueID": "T1190",
      "score": 25,
      "comment": "WAF genérico, no reglas específicas por CVE"
    }
  ]
}

Caso 2: Comparar amenaza vs cobertura (Gap Analysis)

Descargar layer de un threat actor desde ATT&CK (ej: APT28)
Crear tu layer de cobertura defensiva
Superponer ambas capas en Navigator (Layer Controls → Layer Operations)
La intersección muestra: técnicas del actor que NO detectas

Capa 1: APT28 techniques (rojo)
Capa 2: SOC coverage (verde)
Overlay resultado:
  Verde = APT28 technique que detectamos ✓
  Rojo  = APT28 technique que NO detectamos ✗ ← PRIORIZAR
  Gris  = Technique no usada por APT28, irrelevante para este análisis

Caso 3: Coverage por herramienta

Crear una capa por cada herramienta de seguridad:

Capa Sysmon: técnicas detectables con Sysmon
Capa EDR: técnicas detectables con el EDR
Capa NDR: técnicas detectables con Network Detection
Capa SIEM: correlaciones en el SIEM

Superponer todas para ver cobertura acumulada y gaps que ninguna herramienta cubre.

Caso 4: Priorización de nuevas detecciones

Combinar threat intelligence con gap analysis:

Score de prioridad = Frecuencia de uso × Impacto × (1 - Cobertura actual)

Técnica T1059.001 (PowerShell):
  Frecuencia: 0.9 (muy usada)
  Impacto: 0.8 (permite ejecución arbitraria)
  Cobertura: 0.75 (buena pero mejorable)
  Prioridad: 0.9 × 0.8 × 0.25 = 0.18

Técnica T1003.006 (DCSync):
  Frecuencia: 0.3 (menos frecuente)
  Impacto: 1.0 (compromiso total del dominio)
  Cobertura: 0.0 (sin detección)
  Prioridad: 0.3 × 1.0 × 1.0 = 0.30 ← MAYOR PRIORIDAD

Caso 5: Mapeo de un incidente

Tras un incidente, mapear todas las técnicas observadas:

Crear capa con técnicas identificadas durante IR
Colorear por fase temporal (rojo = primeras horas, naranja = días 2-3, amarillo = día del cifrado)
Anotar cada técnica con evidencia forense encontrada
Incluir en el informe de incidente como visualización

Funcionalidades avanzadas

Layer Operations (operaciones entre capas)

Operación	Qué hace	Uso
Score expression: a+b	Suma scores de dos capas	Cobertura acumulada
Score expression: a-b	Resta scores	Gap analysis (amenaza - cobertura)
Score expression: a*b	Multiplica (intersección)	Técnicas cubiertas Y usadas por actor

Filtros y agrupación

Filtrar por plataforma (solo Windows, solo Linux, solo Cloud)
Filtrar por data source (solo técnicas detectables con Sysmon)
Agrupar por táctica para ver cobertura por fase

Exportación

SVG: para informes y presentaciones
JSON: para versionado y automatización
Excel: para stakeholders que prefieren tablas
PNG: para documentación rápida

Integración con herramientas

Herramienta	Integración	Qué hace
DeTT&CT	Python → JSON layers	Genera capas desde data sources y detecciones
Sigma	Mapping rules → layer	Visualizar cobertura de reglas Sigma
Atomic Red Team	Tests → layer	Mostrar qué técnicas has probado con emulación
CALDERA	Results → layer	Visualizar resultados de emulación
Vectr	Purple team → layer	Tracking de ejercicios purple team

Self-hosting

# Clonar y desplegar Navigator localmente
git clone https://github.com/mitre-attack/attack-navigator.git
cd attack-navigator/nav-app
npm install
ng serve

# Acceder en http://localhost:4200
# Desplegar en infraestructura interna para uso corporativo

Ventajas del self-hosting: datos sensibles (cobertura defensiva) no salen de la red, personalización de la interfaz, integración con APIs internas.

Mejores prácticas

Versionar layers: guardar en Git con fecha y changelog
Actualizar trimestralmente: re-evaluar cobertura cada quarter
Validar con emulación: un score alto sin validación es una ilusión
Compartir con contexto: una capa sin explicación de la escala de scoring no es útil
No intentar cubrir todo: priorizar por threat model, no por completitud teórica

Conclusión

El ATT&CK Navigator es la herramienta que convierte ATT&CK de una referencia teórica a una herramienta operativa. Crear y mantener capas de cobertura defensiva, compararlas con perfiles de amenazas, y priorizar gaps es el flujo de trabajo que todo SOC maduro debería implementar. El artículo siguiente cubre cómo mapear malware a ATT&CK de forma sistemática.

Fuentes y referencias

MITRE: ATT&CK Navigator
MITRE: Navigator GitHub repository
Center for Threat-Informed Defense: DeTT&CT framework
Olaf Hartong: "Using ATT&CK Navigator for Detection Coverage" (blog)