MITM Kill Chain — Mapping до MITRE ATT&CK | SOC & DFIR Detection Strategy

Описание: У цьому відео ми розбираємо Man-in-the-Middle (MITM) атаки не як окремі трюки (ARP, DNS, Wi-Fi), а як повноцінний Kill Chain, який можна детектити, мапити та зупиняти на рівні SOC.

Це відео показує, як SOC і DFIR-команди мислять на практиці:
від перших слабких сигналів у мережі — до чіткої кореляції з MITRE ATT&CK, підтвердження атаки та інженерних рішень для її зупинки.

🧠 Що саме розглядаємо

🔹 MITM Kill Chain — повна логіка атаки
☝️Discovery і підготовка середовища
☝️Вставка в мережевий шлях (Adversary-in-the-Middle)
☝️Name Resolution Abuse, Forced Authentication
☝️Traffic steering, proxy abuse, credential interception

🔹 Mapping до MITRE ATT&CK (verified)
☝️T1557 — Adversary-in-the-Middle
☝️T1557.001 — LLMNR / NBT-NS Poisoning
☝️T1187 — Forced Authentication
☝️T1090 — Proxy
☝️та повʼязана екосистема технік
🔹 MITM Cheat Sheet (SOC view)
☝️1 екран — 1 логічна картина
☝️Як швидко зрозуміти, на які фази дивитись у розслідуванні
🔹 MITRE → Data Sources (SOC Engineering Brief)
☝️Які логи реально потрібні для детекції
☝️Що логувати для T1557 / T1187 / T1090
☝️Чому MITM ніколи не видно в одному джерелі
🔹 DFIR-підхід без дешифрування трафіку
☝️Поведінка замість payload
☝️Кореляція мережі, процесів і автентифікації
☝️Чому HTTPS ≠ безпека
🛡 Для кого це відео

✔️ SOC Analysts (Tier 1–3)
✔️ DFIR / Incident Responders
✔️ Detection Engineers
✔️ Blue Team / Purple Team
✔️ Security Architects
✔️ Усім, хто хоче дійсно розуміти MITM, а не просто знати назви атак

🦊 Чому це важливо

Більшість матеріалів про MITM:
❌ зосереджені на інструментах
❌ не показують повної картини
❌ не привʼязані до MITRE та SOC-реальності

У цьому відео MITM показано як:

системну загрозу, яку можна виявляти, мапити та ламати на рівні архітектури захисту

🔐 Відео створено у навчальних цілях (DFIR / SOC education).
Жодних реальних атак або реальних даних не використовується.

#MITM
#MITMKillChain
#KillChain
#MITREATTAck
#MITRE
#ATTACKFramework
#SOC
#SOCDetection
#SOCAnalyst
#DFIR
#DigitalForensics
#IncidentResponse
#ThreatDetection
#CyberKillChain
#NetworkSecurity
#CyberSecurity
#CyberDefense
#BlueTeam
#RedTeamVsBlueTeam
#ThreatHunting
#AttackLifecycle
#TTPs
#AdversaryEmulation
#NetworkForensics
#TrafficAnalysis
#EncryptedTraffic
#HTTPS
#TLS
#CertificateMonitoring
#ProxyDetection
#BehavioralAnalysis
#AnomalyDetection
#SIEM
#IDS
#IPS
#ZeroTrust
#EnterpriseSecurity
#SecurityMonitoring
#InfoSec
#CyberAwareness
#SlyFox
#SlyFoxDFIR
#SlyFoxCyber