MITRE-ATT&CK Heatmap und Navigator

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 14 Minuten Lesedauer

    • Sie können verwenden MITRE-ATT&CK Heatmap und Navigator für die grundlegende Navigation und zur Visualisierung Ihrer allgemeinen Erkennungsabdeckung für Techniken.

    Übersicht über MITRE-ATT&CK Heatmap und Navigator

    Sie können den Navigator mit den primären Filtern für die grundlegende Navigation und Beobachtung von ATT&CK-Matrizen verwenden. Die Heatmap hebt das Spektrum der Erkennungsabdeckung hervor, einschließlich der toten Winkel, für die Ihre Organisation keine Abdeckung hat. Dies ist verfügbar, nachdem Sie zugeordnet haben Technikerkennungsabdeckung.

    Mit der Heatmap und dem Navigator können Sie:
    • Identifizieren Sie schnell und effizient die Erkennungsfunktionen Ihrer Organisation, und heben Sie Lücken in der Abdeckung der Technikerkennung hervor.
    • Suchen Sie nach Bedrohungen, und führen Sie eine Korrelation von Bedrohungen mithilfe zugehöriger Funktionen durch.

    Greifen Sie auf zu MITRE-ATT&CK Heatmap und Navigator

    Greifen Sie auf zu MITRE-ATT&CK Heatmap und Navigator, damit Sie die Matrix visualisieren können, mit der Sie ATT&CK verwenden können.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.read, sn_ti.Mitre_Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Heatmap überprüfen, die Filter zum Korrelieren verwenden und eine Linkanalyse von durchführen MITRE-ATT&CK Informationen, die erkennbaren Elemente und die Security Incidents in Ihrer Organisation.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Repository > Heatmap und Navigatoran.
      Die Heatmap und der Navigator werden in einer neuen Registerkarte geöffnet.
    2. Wählen Sie die Quelle aus, um die Heatmap auszufüllen.
      Hinweis:
      Nur die Sammlungen Und Matrizen Die aktiviert wurden, werden in der Quellliste angezeigt.

      In der folgenden Abbildung sehen Sie, wie Sie zur Heatmap und zum Navigator navigieren und die Quelle auswählen, die in diesem Beispiel Enterprise ATT&CK ist.

    3. Verwenden Sie das Suchfeld, um schnell eine bestimmte Taktik oder Technik mithilfe des Namens oder der ID zu finden.

      Die folgende Abbildung zeigt, wie nach einer Taktik, Technik oder anderen darin enthaltenen Informationen gesucht wird.

    4. Klicken Sie Auf Filter Und wählen Sie einen Filter aus Primär Oder Erweitert Filter.
    5. Klicken Sie Auf Anwenden Und steuern Sie die Filter wie folgt:
      • So speichern Sie Ihre Filter: Erstellen Sie eine anwenderdefinierte Ansicht . Sie können drei erstellen und speichern Anwenderdefinierte Ansichten .
      • Klicken Sie auf, um die ausgewählten Filter zu entfernen Standardfilter Wiederherstellen Zum Laden Ihrer gespeicherten Standardansicht.
      • Klicken Sie auf, um alle Filter und Ihre vorhandene Ansicht zu löschen Löschen Sie alle Filter .
      Hinweis:
      Die Ansichten, die Sie speichern, sind spezifisch für einen Anwender.
    6. Klicken Sie Auf Blenden Sie Untertechniken Aus Zum Entfernen aller Untertechniken aus der Heatmap-Ansicht.
      Wenn eine Technik über Untertechniken verfügt, können Sie auf das Erweiterungssymbol klicken, um die Untertechniken anzuzeigen.

    Verwenden der anwenderdefinierten Ansichten

    Anwenderdefinierte Ansichten in MITRE-ATT&CK Heatmap und Navigator helfen Ihnen, Ihre bevorzugten Filter beim nächsten Erreichen der Heatmap zu speichern und anzuzeigen.

    Hinweis:
    Sie können drei anwenderdefinierte Ansichten für jeden erstellen und speichern MITRE-ATT&CK Sammlung pro Anwender.

    Erstellen Sie eine Ansicht

    Sobald Sie die erforderlichen Filter aus ausgewählt haben Primär Oder Erweitert Filter, klicken Sie auf die Auslassungspunkte (…) Schaltfläche im Header „Filter“, und wählen Sie aus Erstellen Sie eine neue Ansicht . Geben Sie den Namen der anwenderdefinierten Ansicht und ein Ansicht Speichern .

    Standardansichten

    Klicken Sie Auf Speichern Sie dies als Standardansicht Dient zum direkten Laden der Ansicht beim nächsten Mal, wenn Sie auf der Heatmap landen. Sie können eine Standardansicht für jede der Sammlungen festlegen.

    Hinweis:
    Wenn Sie ein Upgrade durchführen Threat Intelligence Plugin aus einer älteren Version, dann wird Ihre vorhandene Standardansicht aus der alten Version als anwenderdefinierte Ansicht angezeigt.

    Aktualisieren Sie eine Ansicht

    Sie können Aktualisierungen an einer vorhandenen anwenderdefinierten Ansicht vornehmen, indem Sie die erforderlichen ändern Primär Oder Erweitert Filter. Wählen Sie eine anwenderdefinierte Ansicht aus, aktualisieren Sie die Filter nach Bedarf, und klicken Sie dann auf die Auslassungspunkte (…). Schaltfläche im Header „Filter“, und wählen Sie aus Aktualisieren Sie die Ansicht Zum Speichern der Filter.

    Verwalten Sie anwenderdefinierte Ansichten

    Verwenden Sie die Kontrollkästchen neben jeder anwenderdefinierten Ansicht, um den ausgewählten anwenderdefinierten Ansichtsfilter anzuwenden.

    Klicken Sie auf die Auslassungspunkte (…) Schaltfläche neben jedem Namen der anwenderdefinierten Ansicht, um die anwenderdefinierten Ansichten wie folgt zu steuern:
    • Legen Sie eine Standardansicht fest.
    • Entfernen Sie eine anwenderdefinierte Ansicht als Standardansicht. Dadurch wird die anwenderdefinierte Ansicht nicht gelöscht.
    • Benennen Sie die anwenderdefinierte Ansicht um.
    • Löschen Sie die anwenderdefinierte Ansicht.

    Exportieren Sie eine gespeicherte Ansicht

    Klicken Sie auf die Auslassungspunkte (…), um die gespeicherten anwenderdefinierten Ansichten in JSON-Dateien zu exportieren. Wählen Sie im Header Filter aus, und wählen Sie aus Exportieren Sie gespeicherte Ansichten . Klicken Sie auf das Download-Symbol für die anwenderdefinierte Ansicht, die Sie auf Ihren lokalen Computer herunterladen möchten.

    Importieren Sie eine Ansicht

    Sie können nur JSON-Dateien importieren. Zum Importieren der anwenderdefinierten Ansichten klicken Sie auf die Auslassungspunkte (…). Schaltfläche im Header „Filter“, und wählen Sie aus Importansicht (JSON) .

    Überprüfen Sie beim Importieren von Ansichten die folgenden Bedingungen:
    • Sie können nur das JSON-Dateiformat importieren.
    • Sie können jeweils nur eine Ansicht oder Datei importieren.
    • Sie können nicht importieren, wenn Sie bereits drei anwenderdefinierte Ansichten in Ihren Filtern haben. Löschen Sie eine anwenderdefinierte Ansicht, und importieren Sie eine Ansicht.
    • Sie können keine Ansicht mit einem vorhandenen anwenderdefinierten Ansichtsnamen importieren. Benennen Sie eine Ansicht um, bevor Sie importieren.

    Navigator mit primären Filtern

    Verwenden Sie die primären Filter, um Techniken in zu filtern MITRE-ATT&CK navigator. Die Informationen in MITRE-ATT&CK Repository ist zur Auswahl verfügbar.

    Filter Beschreibung
    Angreifergruppe (Bedrohungsgruppe) Sätze zugehöriger Angriffsaktivitäten, die von einem allgemeinen Namen in der Sicherheits-Community nachverfolgt werden. Gruppen können verschiedene Bedrohungsgruppen, Aktivitätsgruppen, Bedrohungsakteure, Angriffssätze und Kampagnen bedeuten. Sie können mehrere Gruppen zu hinzufügen Angreifergruppe (Bedrohungsgruppe) Filtern.

    Sie fügen beispielsweise APT1 und AT12 hinzu, da beide Bedrohungsgruppen sind, die China zugeordnet sind. Beide Gruppen können zwar auf verschiedene Quellen abzielen, sie könnten jedoch ähnliche Techniken verwenden.
    Tool Legitime Software, die von Bedrohungsakteuren zum Ausführen von Angriffen verwendet wird. Sie können verstehen, wie Bedrohungsakteure Kampagnen ausführen, wenn Sie wissen, wie und welche Tools von Bedrohungsakteuren verwendet werden. Tools umfassen sowohl Software, die auf einem Enterprise-System nicht gefunden wird, als auch Software, die als Teil eines Betriebssystems verfügbar ist, das bereits in einer Umgebung wie Microsoft Windows-Dienstprogrammen vorhanden ist.

    Gsecdump ist beispielsweise ein öffentlich verfügbarer Anmeldeinformations-Dumper, den die APTI1-Angreifergruppe verwendet, um Passwort-Hashes und LSA-Geheimnisse (lokale Sicherheitsbehörde) von Microsoft Windows-Betriebssystemen abzurufen.
    Malware Kommerzielle, anwenderdefinierte Software mit geschlossener Quelle oder Open Source-Software, die für böswillige Zwecke von Angreifern verwendet werden soll.

    Beispiele sind PlugX, STÄBCHEN usw.
    Plattform Taktiken und Techniken, die darstellen MITRE-ATT&CK In einer bestimmten Plattform.

    Beispiel: MITRE-ATT&CK Unterstützt diese Plattformen in der ATT&CK-Matrix für Unternehmen: Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Netzwerk.
    Datenquelle Datenquellen, die Sie in Ihrer Umgebung erfassen und zur Erkennung verwenden MITRE-ATT&CK Techniken.

    Beispiele sind DLL-Überwachung und Browsererweiterungen.
    Die folgende Abbildung zeigt alle primären Filter, die in verfügbar sind MITRE-ATT&CK navigator.

    Primäre Filter.

    Verwenden einer Heatmap mit primären und erweiterten Funktionen

    Sie können eine Heatmap mit erweiterten Filtern verwenden, um eine Analyse durchzuführen, indem Sie Security Incidents mit korrelieren MITRE-ATT&CK Informationen.

    Technik-IDs anzeigen

    Sie können anzeigen MITRE-ATT&CK Technik-IDs mit den Techniknamen, wenn Sie auswählen Technik-IDs anzeigen Filtern.

    Zeigen Sie relevante Techniken nach Priorität an

    Wählen Sie aus, um die Techniken basierend auf ihrer relevanten Priorität im Navigator zu filtern Filtern Sie nach technikrelevanter Priorität Filtern Sie, und wählen Sie aus Relevante Priorität Aus dem Menü. Sie können mehrere Prioritäten für die Filterung zuweisen. Sie können auch auf die Techniken in der Heatmap verweisen, um die Priorität der Technik zu erfahren.

    Die relevanten Prioritätsinformationen basieren auf der Priorisierung, die Sie in festgelegt haben Techniken Relevantes Prioritätsfeld.

    Zeigen Sie die Abdeckung der Technikerkennung an

    Wählen Sie aus, um die allgemeine Erkennungsabdeckung für Technik in der Heatmap anzuzeigen Zeigen Sie die Abdeckung der Technikerkennung an Filtern. Die Heatmap hebt das visuelle Spektrum der Erkennungsabdeckung hervor, einschließlich der toten Winkel, bei denen Sie keine Abdeckung haben. Die Bewertungsdefinition des Basissystems und die Farben wurden in definiert Technikerkennungsabdeckung . Die Informationen wurden automatisch aus der gesamten Technikerkennungsabdeckung extrahiert.

    Beispielsweise weisen Bereiche der Heatmap, die rot markiert sind, auf eine fehlende Erkennung hin. Blau markierte Bereiche zeigen das Vorhandensein vollständiger Erkennungsfunktionen an. Bereiche, die orange, gelb und hellblau markiert sind, spiegeln Teilerkennungsfunktionen wider.

    • Die Farbvisualisierung basiert auf Technikdefinition und Farbcodierung Die Sie definieren.
    • Die Abdeckungsvisualisierung basiert auf Zuordnung der Technikerkennungsabdeckung Die Sie definieren.
    • Wenn Sie die Definition der Abdeckung des Basissystems ändern, werden die Symbole für den Abdeckungstyp nicht mit den Techniken in der Heatmap angezeigt.
      Hinweis:
      Die Heatmap funktioniert wie erwartet, wenn Sie dieselben Felder wie die vom Basissystem definierten Erkennungs-Abdeckungs- und Abdeckungsfarben für Technik ändern.

    In dieser Abbildung sehen Sie die Technikerkennungsabdeckung für alle Techniken und Untertechniken und den Abdeckungstyp mit seinen Farben und Symbolen.

    Zeigen Sie die Abdeckung zur Verringerung von Techniken an

    Um die Gesamtabdeckung durch Minderung von Techniken in der Heatmap anzuzeigen, wählen Sie den Filter „Abdeckung durch Minderung von Techniken anzeigen“ aus. Die Heatmap hebt das visuelle Spektrum der Minderungsabdeckung hervor, einschließlich Bereichen, für die Sie keine Abdeckung haben. Die Abdeckung der Risikominderung, die Farben und die Prozentbereiche wurden in definiert Definition Der Abdeckung Durch Risikominderung . Die Informationen werden aus extrahiert Abdeckung Durch Risikominderung Für Technik Insgesamt .

    Beispielsweise zeigen rot hervorgehobene Techniken keine Abdeckung durch Risikominderung an, Orange zeigt eine schlechte Abdeckung durch Risikominderung an, und blau zeigt eine ausgezeichnete Abdeckung durch Risikominderung an.
    • Die Farbvisualisierung basiert auf Definition und Farbcodierung der Technikminderung Die Sie definieren.
    • Die Abdeckungsvisualisierung basiert auf Zuordnung der Abdeckung durch Technologieverminderung Die Sie definieren.
    • Wenn Sie die Definition der Abdeckung durch Risikominderung des Basissystems ändern, werden die Symbole für den Typ der Risikominderung nicht mit den Techniken in der Heatmap angezeigt.
      Hinweis:
      Die Heatmap funktioniert wie erwartet, wenn Sie dieselben Felder wie die vom Basissystem definierten Abdeckungs- und Abdeckungsfarben für die Technik des Basissystems ändern.

    Zeigen Sie die Abdeckung von Erkennung und Risikominderung an

    Sie können die Filter für die Erkennung von Techniken und die Abdeckung durch die Verringerung von Techniken zusammen verwenden, um einen Einblick in die Relevanz der Erkennung von Techniken zu erhalten und die Abdeckung für Ihre Organisation zu mindern.

    Diese Abbildung zeigt, wie der Erkennungs- und Minderungsfilter zusammen verwendet werden.

    Bedrohungsgruppe anzeigen

    Wählen Sie aus, um die Bedrohungsgruppe zu Technikinformationen auf der Heatmap anzuzeigen Bedrohungsgruppen-Heatmap anzeigen . Sie können die Anzahl der Bedrohungsgruppen messen, die eine bestimmte Technik verwenden. Die Wahrscheinlichkeit eines Angriffs mit einer bestimmten Technik steigt, wenn Sie eine hohe Anzahl von Angreifern haben. Die Bedrohungsgruppenbereiche und Heatmap-Farben wurden in definiert Heatmap-Definition Für Bedrohungsgruppen-Technik .

    Zeigen Sie Security Incidents an, die der Technik zugeordnet sind

    Um die Techniken anzuzeigen, die in Ihrer Organisation häufig ausgenutzt werden und zu Security Incidents geführt haben, klicken Sie auf Zeigt Security Incident an, der der Technik zugeordnet ist . Sie können weitere Informationen zu jedem der zugehörigen Security Incidents anzeigen, wenn Sie auf den Link klicken, der in einem neuen Fenster zur Analyse geöffnet wird.

    • Priorität: Auswählen Priorität Von Security Incidents Zum Filtern nach der Security Incident-Priorität.
    • Datumsbereich: Wählen Sie aus Datumsbereich Für Security Incidents Dient zum Filtern von Sicherheitsproblemen nach dem Datumsbereich.
    • Falsch positive Ergebnisse: Auswählen Filtern Sie falsch positive Security Incidents Um falsch positive Probleme zu entfernen. Wenn Sie diesen Filter auswählen, wird die Anzahl der Security Incidents reduziert, die in der Heatmap angezeigt werden.

    Wenn Sie diesen Filter mit verwenden Zeigen Sie die Abdeckung der Technikerkennung an Filtern, bietet es Ihnen einen Einblick in die Relevanz der Technikerkennungsabdeckung für Ihre Organisation bis zum ausgewählten Datum.

    Wenn Sie beispielsweise beide Filter aktivieren, können Sie sehen, dass unter der Taktik zur Abwehrvermeidung die Maskeradingtechnik keine Abdeckung hat. Wenn Sie weiter suchen, bezieht sich die Maskeradungstechnik auf die Maskeradaufgabe oder den Maskerservice, der auch einen Security Incident zugeordnet ist. Dies zeigt, dass es eine Lücke in der Technikerkennungsabdeckung für die Maskierungstechnik gibt, und Sie können die allgemeine Erkennungsabdeckung für Technik überarbeiten.

    Zeigen Sie Erkennungsregeln an

    Um anzuzeigen, ob die Erkennungsregeln für eine bestimmte Technik definiert sind, klicken Sie auf Erkennungsregeln anzeigen . Sie können auch jede zugeordnete Erkennungsregel mit ihrer Definition anzeigen.

    Diese Informationen basieren auf Zuordnung von Erkennungsregeln Die Sie definiert haben.

    Zeigen Sie CVEs an, die der Technik zugeordnet sind

    Klicken Sie auf, um die Informationen zu allgemeinen Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVE) anzuzeigen, die den einzelnen Techniken zugeordnet sind CVEs anzeigen, die der Technik zugeordnet sind . Die CVE-zu-Technik-Informationen basieren auf den Informationen, die in verfügbar sind CVE: Technikzuordnungsmodul . Dies bietet Ihnen Einblicke in bekannte Schwachstellen und informiert Sie, ob Angreifer Ihre Organisation potenziell ausnutzen können.

    Wichtig:
    Die Heatmap wird erweitert, um nur die relevanten CVEs anzuzeigen, die den Vits zugeordnet sind

    Wählen Sie aus, um Vits anzuzeigen, die CVEs und Techniken zugeordnet sind Vits anzeigen, die CVE und Techniken zugeordnet sind . Wählen Sie außerdem aus, um weitere Filtertechniken ohne Vits zu filtern Techniken ohne Vits ausblenden . Die CVE- und VIT-Informationen, die Sie anzeigen, werden von abgerufen Vulnerability Response Produkt in Ihrer Umgebung. Sie können die gefilterte Liste der CVE und Vits in der Heatmap anzeigen und zu jedem CVE oder VIT für jede Technik aus der Heatmap navigieren.

    Hinweis:
    • Die CVEs anzeigen, die der Technik zugeordnet sind Ist nur verfügbar, wenn Vulnerability Response Produkt ist in Ihrer Umgebung installiert.
    • Die VIT- und CVE-Informationen werden basierend auf der geplanten Aufgabe berechnet, die Sie in festgelegt haben MITRE-ATT&CK Eigenschaftenan. Die geplante Aufgabe des Basissystems ist auf 24 Stunden festgelegt.

    Wenn Sie diesen Filter mit verwenden Zeigt Security Incident an, der der Technik zugeordnet ist Filtern, können Sie erfahren, ob die bekannten Schwachstellen Security Incidents in Ihrer Organisation verursacht haben.

    Sie können weitere Informationen zu jedem CVE anzeigen, um zu analysieren, ob das CVE für Ihre Organisation relevant ist. Zeigen Sie dazu die angreifbaren Elemente an. Wenn Schwachstellenelemente erstellt werden, können Sie weitere Informationen zu allen zugehörigen CI-Informationen in anzeigen Vulnerability Response Modul. Sie können auch den Schweregrad und die Priorität überprüfen, um fundierte Entscheidungen zu treffen.

    Analysieren Sie Security Incidents

    Klicken Sie auf, um Security Incidents zu analysieren und die Techniken zu überprüfen, die von einem Angreifer für einen Angriff verwendet werden Analysieren Sie Security Incidents . Sie können mehrere Security Incidents zur Analyse hinzufügen, indem Sie kommagetrennte Zeichenfolgen verwenden.

    Dieser Filter hilft Ihnen, einen Security Incident zu analysieren. Sie können erfahren, warum der Incident aufgetreten ist, welche Techniken ausgenutzt wurden, ob bekannte Bedrohungsakteure beteiligt waren, ob die Bedrohungsakteure eine bestimmte Sequenz für einen Angriff verwendet haben usw. Da Sie mehrere Security Incidents gleichzeitig analysieren können, können Sie die Informationen korrelieren, um zu sehen, ob sie zugehörig sind oder ob es sich um einen isolierten Incident handelt. Wenn die Security Incidents zusammenhängen und Sie ein Muster beobachten, können Sie ihren Fortschritt in der Auslösekette überprüfen, um den Angriff zu stoppen oder eine Verteidigungsstrategie für Ihre Organisation zu entwickeln.

    Wenn Sie verwenden Analysieren Sie Security Incidents Filter mit primären Filtern, z. B. Angreifergruppe , Sie können korrelieren, wenn bekannte Angreifer beteiligt sind. Wenn beispielsweise mehrere Security Incidents analysiert werden, sind die Techniken, die den Security Incidents zugeordnet sind, in Form einer Kill Chain vorhanden. Wenn Sie die Informationen mit dem Angreifer überschneiden, bemerken Sie eine Überschneidung zwischen den Techniken, die dem Security Incident zugeordnet sind, und den Techniken, die dem Angreifer zugeordnet sind. Nur die Informationen zur überlappenden Technik werden angezeigt, wenn beide Filter aktiviert sind.

    Verwenden von Überlagerung, um Security Incidents und Angreifergruppen zu analysieren

    Verwenden Sie Aktivieren Sie „Überlagerung/Analysieren“ Filter, um das Verhalten der Angreifer anzuzeigen und einen oder mehrere der Security Incidents zu analysieren und die Informationen zu korrelieren, um zu sehen, ob ein Angriff ein isolierter Incident oder ein koordinierter Angriff eines bekannten Angreifers ist.

    Sie können beispielsweise jetzt die Security Incidents und das Verhalten der Kill Chain von Bedrohungsangreifern in derselben Ansicht anzeigen. Diese Ansicht bietet Überlappungsinformationen, die Sie über den Angriff und das bekannte Angreiferverhalten informieren. Dadurch können Sie analysieren, ob es sich um einen isolierten Angriff oder einen koordinierten Angriff eines bekannten Angreifers handelt.

    Durch Aktivieren des Überlagerungsfilters „Analysieren“ werden alle primären Filter außer ignoriert Angreifergruppe Filtern und ignoriert den erweiterten Filter Filtern Sie nach technikrelevanter Priorität Beim Generieren einer Ansicht.

    Sobald Sie den Überlagerungsfilter „Analysieren“ aktiviert haben, verwenden Sie die Farbpalette, um Farben für Folgendes zuzuweisen:
    • Analysieren Sie Security Incidents
    • Angreifergruppe
    • Überlagerung

    Die folgende Abbildung zeigt, dass die Angreifergruppe APT18 auf mehrere Techniken und Taktiken in der Kill-Kette verteilt ist. Die Analyse zeigt auch, dass es drei Techniken gibt, die die Angreifergruppe und Security Incidents, die Sie nachverfolgen, überlagern.