IntermedioTRAMMITRECTINLPherramientas

TRAM: Mapeo Automático de Inteligencia a ATT&CK

Guía de MITRE TRAM (Threat Report ATT&CK Mapper): herramienta que usa NLP para extraer automáticamente técnicas ATT&CK de informes de threat intelligence en texto natural. Setup, uso práctico y limitaciones.

MalwareIntel Research··4 min lectura
Serie: MITRE ATT&CK y D3FEND — Parte 30

TRAM acelera el proceso de mapear informes de threat intelligence a técnicas ATT&CK

Cada semana se publican decenas de informes de threat intelligence (Mandiant, CrowdStrike, ESET, Kaspersky, CISA). Mapear manualmente cada informe a técnicas ATT&CK requiere horas. TRAM (Threat Report ATT&CK Mapper) automatiza este proceso usando NLP para identificar menciones de técnicas en texto natural.

Cómo funciona

Input: Informe de threat intelligence (PDF, texto, URL)
  │
  ├── 1. Extracción de texto
  ├── 2. Tokenización y análisis NLP
  ├── 3. Matching de frases con descripciones de técnicas ATT&CK
  ├── 4. Scoring de confianza por cada match
  └── 5. Output: lista de técnicas ATT&CK con confianza y fragmento fuente

Ejemplo

Input (fragmento de informe):

"The threat actor used spearphishing emails with malicious Word attachments containing macros. Upon execution, the macro launched PowerShell to download a second-stage payload from a compromised WordPress site."

Output TRAM:

Técnica sugeridaIDConfianzaFragmento
Phishing: Spearphishing AttachmentT1566.0010.92"spearphishing emails with malicious Word attachments"
User Execution: Malicious FileT1204.0020.87"Upon execution, the macro launched"
Command and Scripting: PowerShellT1059.0010.95"launched PowerShell to download"
Ingress Tool TransferT11050.88"download a second-stage payload"
Compromise InfrastructureT15840.72"compromised WordPress site"

Instalación y uso

# TRAM v2 (versión actual)
git clone https://github.com/center-for-threat-informed-defense/tram.git
cd tram
pip install -r requirements.txt
python tram.py

# Web UI en http://localhost:8000
# Subir informe → analizar → revisar sugerencias → exportar

Flujo de trabajo recomendado

  1. Upload: subir informe a TRAM
  2. Análisis automático: TRAM sugiere técnicas con confianza
  3. Revisión humana: analista verifica cada sugerencia
    • Aceptar matches correctos
    • Rechazar falsos positivos
    • Añadir técnicas que TRAM no detectó
  4. Export: exportar mapping a JSON o Navigator layer

Limitaciones

LimitaciónImpactoMitigación
Depende de la calidad del textoInformes vagos generan matches vagosUsar informes técnicos detallados
Falsos positivos en técnicas ampliasT1059 (scripting) match en casi todoRevisar siempre manualmente
No entiende contexto complejoPuede confundir defensa con ataqueAnalista revisa contexto
Idioma: funciona mejor en inglésInformes en español menos precisosTraducir o usar informes EN
No mapea sub-técnicas siemprePuede dar T1059 en vez de T1059.001Refinar manualmente

Integración con otros tools

HerramientaIntegración
ATT&CK NavigatorExportar mapping como layer JSON
ATT&CK WorkbenchImportar mappings a instancia local
OpenCTIConnectors para importar mappings TRAM
MISPEventos con tags ATT&CK desde TRAM output

Alternativas a TRAM

HerramientaEnfoqueDiferencia con TRAM
CAPA (Mandiant)Análisis de binarios, no textoComplementario: CAPA para samples, TRAM para informes
AttackCTI (community)Scripts de extractionMás simple, menos preciso
LLMs (GPT/Claude)Prompting para extraer técnicasMás flexible pero sin scoring formal
Decider (MITRE)Asistente interactivo de mappingHumano guiado, no automático

Conclusión

TRAM es un acelerador para analistas CTI que procesan múltiples informes semanalmente. No reemplaza al analista pero reduce el tiempo de mapping de horas a minutos (más revisión). La combinación TRAM (informes de texto) + CAPA (binarios) + revisión humana cubre el pipeline completo de mapping a ATT&CK.

Fuentes y referencias

  • Center for Threat-Informed Defense: TRAM
  • MITRE: "Automating ATT&CK Mapping" (2023)

Preguntas frecuentes

Artículos relacionados

MITRE ATT&CK y D3FENDIntermedio

Mapping Malware a ATT&CK: Metodología Práctica

MITRE ATT&CK y D3FENDAvanzado

ATT&CK Workbench: Personalizando Tu Instancia

MITRE ATT&CK y D3FENDAvanzado

CALDERA: Emulación de Adversarios Automatizada

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.