조직에서 특정 악의적 기술을 얼마나 효과적으로 탐지할 수 있는지 측정할 수 있도록 조직의 MITRE-ATT&CK 점수 매기기 시스템을 정의합니다.

표 1. 점수 매기기 정의

점수	점수 매핑	설명
없음	0	데이터가 부족하여 특정 악의적 기술을 탐지할 수 없습니다.
기준 미달	1	특정 악의적 기술을 탐지하기 위한 기본 서명 및 상관관계 규칙이 마련되어 있습니다. 위협 탐지는 실시간이 아니며 기술의 최소 측면만 다룹니다. 예를 들어 헌팅은 한 번에 하나의 엔드포인트에서만 발생합니다. 조직에는 헌터가 이상값을 찾기 위해 검토하고 다른 이벤트와 상관 관계를 지정해야 하는 수천 또는 수백 개의 이벤트가 여전히 있을 수 있습니다. 가양성 수가 많습니다.
보통	2	올바른 데이터를 많이 수집하고 데이터 품질은 공정합니다. 예를 들어 조직에서 Sysmon 로그, ETW, PowerShell 로그 등을 추가하기 시작할 수 있습니다. 그러나 위협 탐지는 여전히 실시간이 아닙니다. 조직에 데이터를 효과적으로 집계하고 분석하는 데 적합한 도구가 없을 수도 있습니다. 헌터는 데이터를 정확하게 분석하기 위해 수동으로 쿼리를 실행하고 상관 관계를 파악해야 합니다. 가양성 수가 많습니다.
좋음	3	엔드포인트에서 여러 데이터의 상관 관계를 지정하고 통합하는 실시간 탐지입니다. 위협 탐지는 기술 절차의 여러 측면을 다룹니다. 악의적 사용자는 회피 및 난독화를 통해 탐지를 우회할 수 있습니다. 조직에서는 가양성을 쉽게 식별하고 필터링할 수 있습니다. 조직에서는 기본 데이터 과학 기술을 사용하여 중앙 리포지토리의 데이터를 분석합니다.
매우 좋음	4	악의적인 기술을 실시간으로 효과적으로 탐지하고 기술 절차의 대부분의 측면을 다룹니다. 악의적 사용자가 회피 및 난독화 방법으로 탐지를 우회할 가능성은 양호 수준보다 어렵습니다. 조직에서는 가양성을 쉽게 식별하고 필터링할 수 있습니다. 조직에서는 고급 데이터 과학 기술을 사용하여 악의적 사용자를 탐지합니다.
우수	5	악의적인 기술을 실시간으로 효과적으로 탐지하고 기술 절차의 모든 측면을 다룹니다. 조직은 올바른 자동화 및 데이터 품질로 환경을 잘 이해하고 있습니다. 악의적 사용자가 회피 및 난독화 방법으로 탐지를 우회할 가능성은 이 수준에서 불가능합니다. 거짓 부정의 수가 적습니다.