組織が特定の攻撃者のテクニックをどれだけ効果的に検出できるかを測定できるように、組織の MITRE-ATT&CK 採点システムを定義します。

表 : 1. 採点の定義

スコア	スコアマッピング	説明
なし	0	特定の攻撃者のテクニックを検出するのに十分なデータがありません。
不満	1	特定の攻撃者のテクニックを検出するために、基本的な署名と相関ルールが用意されています。脅威検出はリアルタイムではなく、テクニックの最小限の側面のみに対応しています。たとえば、ハンティングは一度に 1 つのエンドポイントでのみ実行されます。組織には、数千または数百のイベントがまだある可能性があるため、これらのイベントをハンティング担当者が確認し、他のイベントと関連付けて外れ値を見つける必要があります。誤検出の数が多くなっています。
普通	2	適切なデータを大量に収集し、データ品質は普通です。たとえば、組織が Sysmon ログ、ETW、PowerShell ログなどの追加を開始するとします。ただし、脅威の検出はまだリアルタイムではありません。組織には、データを効果的に集計および分析するための適切なツールがない場合があります。データを正確に分析するには、手動でクエリを実行して関連付ける必要があります。誤検出の数が多くなっています。
良好	3	エンドポイント全体で複数のデータを関連付けて統合するリアルタイム検出。脅威検出は、テクニックの手順の多くの側面に対応しています。攻撃者は、回避と難読化によって検出をバイパスする可能性があります。組織は誤検出を簡単に識別して除外できます。組織は、基本的なデータ科学技術を使用して中央リポジトリのデータを分析します。
とても良好	4	悪意のあるテクニックをリアルタイムで効果的に検出し、テクニックの手順のほとんどの側面に対応します。攻撃者が回避や難読化の方法で検出をパイパスする可能性は、[良好] レベルよりも困難です。組織は誤検出を簡単に識別して除外できます。組織は、高度なデータ科学技術を使用して攻撃者のテクニックを検出します。
優秀	5	悪意のあるテクニックをリアルタイムで効果的に検出し、テクニックの手順のすべての側面に対応します。組織は、適切な自動化とデータ品質を使用して、環境を十分に把握しています。攻撃者が回避や難読化の方法で検出をパイパスする可能性は、[良好] レベルよりも困難です。誤検出の数が少なくなっています。