ATT&CK（六）之ATT&CK子项目atomicredteam测试环境安装与使用

ATT&CK子项目atomicredteam测试环境安装与使用

Atomicredteam的主站点为https://atomicredteam.io/，是一个攻击测试库，每个安全团队都可以执行这些测试来测试他们的防御控件。测试是有重点的，几乎没有依赖关系，并且以结构化格式定义，自动化框架可以使用这种格式。

Atomicredteam与Invoke-Atomicredteam一起使用，或者被其他的自动化测试框架集成使用。使用两个案例说明Atomicredteam的使用

T1003.001

先打开Atomicredteam的目录atomics，进入到T1003目录，干脆直接进入T1003.001目录。T1003.001，表示OS Credential Dumping。共有13种记录的方式可以获取。逐个解读以下：

常用的指令包括：

#执行测试
Invoke-AtomicTest T1218 -TestNames "Uninstall Sysmon"
Invoke-AtomicTest T1218 -TestNumbers 2
#输出执行日志
Invoke-AtomicTest T1218.010 -ExecutionLogPath 'C:\Temp\mylog.csv'
#执行日志转换为表格
Import-Csv $env:TEMP\Invoke-AtomicTest-ExecutionLog.csv | Out-GridView
#清除执行痕迹
Invoke-AtomicTest T1218 -Cleanup