MITRE-ATT&CK Definição de pontuação
Defina o sistema de pontuação MITRE-ATT&CK da sua organização para que você possa medir a eficácia com que sua organização pode detectar técnicas adversárias específicas.
| Pontuação | Mapeamento de pontuação | Descrição |
|---|---|---|
| Nenhum(a) | 0 | Dados insuficientes para detectar uma técnica adversária específica. |
| Ruim | 1 | As assinaturas básicas e as regras de correlação estão em vigor para detectar técnicas adversárias específicas. A detecção de ameaças não é em tempo real e cobre apenas um número mínimo de aspectos de uma técnica. Por exemplo, a busca ocorre somente em um endpoint de cada vez. Sua organização ainda pode ter milhares ou centenas de eventos que os coletores devem revisar e correlacionar com outros eventos para encontrar exceções. O número de falso-positivos é alto. |
| Justo | 2 | Coletando os dados corretos em grande parte e a qualidade dos dados é justa. Por exemplo, sua organização pode estar começando a adicionar logs do Sysmon, ETW, logs do PowerShell e assim por diante. No entanto, a detecção de ameaças ainda não é em tempo real. Sua organização pode não ter todas as ferramentas certas para agregar e analisar os dados com eficácia. Os Caçadores devem executar consultas manualmente e correlacionar para analisar os dados com precisão. O número de falso-positivos é alto. |
| Boa | 3 | Detecção em tempo real que correlaciona e integra vários dados em seus endpoints. A detecção de ameaças cobre muitos aspectos dos procedimentos de uma técnica. Seus adversários podem ignorar a detecção com evasão e ofuscação. Sua organização pode identificar facilmente falsos positivos e filtrá-los. Sua organização usa técnicas básicas de ciência de dados para analisar os dados no repositório central. |
| Muito Bom | 4 | Detecte com eficácia técnicas mal-intencionadas em tempo real e cubra a maioria dos aspectos dos procedimentos de uma técnica. A possibilidade de seus adversários ignorarem a detecção com métodos de evasão e ofuscação é mais difícil do que no nível Bom. Sua organização pode identificar facilmente falsos positivos e filtrá-los. Sua organização usa técnicas avançadas de ciência de dados para detectar técnicas adversárias. |
| Excelente | 5 | Detecte com eficácia técnicas mal-intencionadas em tempo real e cubra todos os aspectos dos procedimentos de uma técnica. Sua organização tem uma boa compreensão do seu ambiente com a automação e a qualidade de dados corretas. A possibilidade de seus adversários ignorarem a detecção com métodos de evasão e ofuscação não é possível neste nível. O número de falso-negativos é baixo. |