MITRE-ATT&CK Définition de notation
Définissez le système de notation de MITRE-ATT&CK votre organisation afin de mesurer l’efficacité avec laquelle votre organisation peut détecter des techniques de validation spécifiques.
| Score | Mappage de score | Description |
|---|---|---|
| Aucun | 0 | Données insuffisantes pour détecter une technique spécifique de l’adversaire. |
| Médiocre | 1 | Des signatures de base et des règles de corrélation sont en place pour détecter les techniques spécifiques de l’adversaire. La détection des menaces ne se fait pas en temps réel et ne couvre qu’un nombre minimal d’aspects d’une technique. Par exemple, la chasse n’a lieu que sur un seul point de terminaison à la fois. Votre organisation peut encore avoir des milliers ou des centaines d’événements que les chasseurs doivent examiner et corréler avec d’autres événements pour trouver des valeurs aberrantes. Le nombre de faux positifs est élevé. |
| Acceptable | 2 | La collecte des bonnes données dans une large mesure et la qualité des données sont équitables. Par exemple, votre organisation commence peut-être à ajouter des journaux Sysmon, ETW, PowerShell, etc. Cependant, la détection des menaces n’est toujours pas en temps réel. Votre organisation ne dispose peut-être pas de tous les bons outils pour agréger et analyser efficacement les données. Les chasseurs doivent exécuter manuellement des requêtes et les corréler pour analyser les données avec précision. Le nombre de faux positifs est élevé. |
| Bien | 3 | Détection en temps réel qui met en corrélation et intègre plusieurs données sur vos terminaux. La détection des menaces couvre de nombreux aspects des procédures d’une technique. Vos adversaires pourraient éventuellement contourner la détection grâce à l’évasion et à l’obscurcissement. Votre organisation peut facilement identifier les faux positifs et les filtrer. Votre organisation utilise des techniques de science des données de base pour analyser les données du référentiel central. |
| Très bien | 4 | Détectez efficacement les techniques malveillantes en temps réel et couvrez la plupart des aspects des procédures d’une technique. La possibilité que vos adversaires contournent la détection avec des méthodes d’évasion et d’obscurcissement est plus difficile qu’au niveau Bon. Votre organisation peut facilement identifier les faux positifs et les filtrer. Votre organisation utilise des techniques avancées de science des données pour détecter les techniques des adversaires. |
| Excellent | 5 | Détectez efficacement les techniques malveillantes en temps réel et couvrez tous les aspects des procédures d’une technique. Votre organisation a une bonne compréhension de votre environnement avec la bonne automatisation et la bonne qualité des données. La possibilité que vos adversaires contournent la détection avec des méthodes d’évasion et d’obscurcissement n’est pas possible à ce niveau. Le nombre de faux négatifs est faible. |