AvanzadoMITRE ATT&CKWorkbenchpersonalizaciónherramientas

ATT&CK Workbench: Personalizando Tu Instancia

Guía de ATT&CK Workbench: cómo desplegar tu propia instancia de ATT&CK, añadir técnicas custom, crear grupos internos, y mantener una base de conocimiento ATT&CK personalizada para tu organización.

MalwareIntel Research··3 min lectura
Serie: MITRE ATT&CK y D3FEND — Parte 31

ATT&CK Workbench permite mantener tu propia versión de ATT&CK con contenido personalizado

La base de conocimiento pública de ATT&CK es un punto de partida excelente, pero cada organización tiene contexto que no está en la versión oficial: actores que los atacan específicamente, técnicas de nicho de su industria, o campañas internas documentadas. ATT&CK Workbench permite desplegar una instancia local, sincronizarla con MITRE oficial, y añadir contenido propio.

Arquitectura

ATT&CK Workbench
  ├── Frontend (Angular app)
  ├── REST API (Node.js)
  ├── MongoDB (base de datos)
  └── Collection Manager (sync con MITRE oficial)

Instalación

# Requisitos: Docker, Docker Compose
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-frontend.git
git clone https://github.com/center-for-threat-informed-defense/attack-workbench-rest-api.git

# Docker Compose (método recomendado)
docker compose up -d

# Acceder: http://localhost:4200
# Importar colección oficial de ATT&CK: Collection Manager → Import

Qué puedes personalizar

Técnicas custom

Añadir técnicas no cubiertas por ATT&CK oficial:

Ejemplo: técnica interna para tu sector
  ID: T9001 (prefijo custom, no colisiona con MITRE)
  Name: "Abuse of Internal Ticketing System"
  Tactic: Initial Access
  Description: "Adversary creates fake IT support tickets
    to social engineer helpdesk into resetting credentials"
  Detection: "Monitor ticket creation patterns, verify
    requestor identity for password resets"

Grupos internos

Documentar actores que te atacan pero no están en ATT&CK público:

Group: Internal Threat Actor #1
  Type: Criminal
  Target: Our organization specifically
  First seen: 2025-03
  Techniques observed: T1566.001, T1078.004, T1059.001
  Notes: Possibly related to G0092 (Cl0p) but unconfirmed

Campañas internas

Documentar incidentes propios como campañas:

Campaign: INC-2025-042
  Period: 2025-10-15 to 2025-10-20
  Actor: Unknown (possibly FIN7)
  Techniques: T1566.001 → T1059.001 → T1003.001 → T1021.002 → T1486
  Status: Contained, no encryption deployed

Relaciones custom

Crear relaciones entre objetos que no existen en ATT&CK oficial: "nuestra herramienta interna X detecta la técnica Y con estas limitaciones".

Sincronización con MITRE oficial

Workbench puede sincronizar con las actualizaciones oficiales de ATT&CK (bianuales) sin perder contenido custom:

ATT&CK v15 (oficial) + Tu contenido custom = Tu instancia Workbench

Cuando sale ATT&CK v16:
  1. Import nueva colección oficial
  2. Workbench merge: oficial v16 + tu contenido custom
  3. Revisar conflictos (si MITRE modificó algo que tú también)
  4. Tu instancia = ATT&CK v16 + custom

Integración con otras herramientas

HerramientaIntegración
ATT&CK NavigatorExportar layers desde Workbench
CALDERASincronizar abilities con Workbench
TRAMImportar mappings a Workbench
OpenCTIConnectors bidireccionales
STIX/TAXIIExport/import en formato STIX 2.1

Casos de uso

CasoQuién lo usa
Tracker de actores internosCTI team
Base de conocimiento de incidentesIR team
Detección personalizada por industriaDetection Engineering
Evaluación de vendors con técnicas customSecurity Architecture
Training scenariosSecurity Awareness

Conclusión

ATT&CK Workbench es para organizaciones que necesitan ir más allá de la base de conocimiento pública. La inversión de setup se justifica cuando tienes threat intelligence propia que documentar, actores específicos que trackear, o técnicas de industria que no están en ATT&CK oficial. Para la mayoría, ATT&CK público + Navigator es suficiente. Workbench es el nivel siguiente.

Fuentes y referencias

  • Center for Threat-Informed Defense: ATT&CK Workbench
  • MITRE: "Extending ATT&CK with Custom Content" (2023)

Preguntas frecuentes

Artículos relacionados

MITRE ATT&CK y D3FENDIntermedio

ATT&CK Navigator: Uso Avanzado y Personalización

MITRE ATT&CK y D3FENDIntermedio

TRAM: Mapeo Automático de Inteligencia a ATT&CK

MITRE ATT&CK y D3FENDAvanzado

CALDERA: Emulación de Adversarios Automatizada

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.