MITRE-ATT&CK mapa de calor e navegador

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 14 min. de leitura

    • Você pode usar MITRE-ATT&CK mapa de calor e navegador para navegação básica e para visualizar sua cobertura geral de detecção de técnica.

    Visão geral do MITRE-ATT&CK mapa de calor e navegador

    Você pode usar o navegador com os filtros primários para navegação básica e observação de matrizes ATT&CK. O mapa térmico destaca o espectro da cobertura de detecção, incluindo os pontos cegos em que sua organização não tem cobertura. Isso fica disponível depois que você mapeia o. cobertura de detecção de técnica.

    Com o mapa térmico e o navegador, você pode:
    • Identifique com rapidez e eficiência os recursos de detecção da sua organização e destaque as lacunas na cobertura de detecção de técnica.
    • Busque ameaças e execute correlação de ameaças usando recursos associados.

    Acesse MITRE-ATT&CK mapa de calor e navegador

    Acesse MITRE-ATT&CK Mapa de calor e navegador para que você possa visualizar a matriz que permite usar o ATT&CK.

    Antes de Iniciar

    Função necessária: sn_ti.read, sn_ti.miter_analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode revisar o mapa de calor, usar os filtros para correlacionar e executar a análise de link de MITRE-ATT&CK, os observáveis e os incidentes de segurança em sua organização.

    Procedimento

    1. Navegar até Tudo > Inteligência contra ameaças > Repositório do MITRE ATT&CK > Mapa térmico e Navegador.
      O mapa de calor e o navegador são abertos em uma nova guia.
    2. Selecione a origem para preencher o mapa de calor.
      Nota:
      . coleções e. matrizes que foram ativados aparecem na lista de origens.

      Na ilustração a seguir, você vê como navegar até o mapa de calor e o navegador e como selecionar a origem, que é Enterprise ATT&CK neste exemplo.

    3. Use a caixa de pesquisa para encontrar rapidamente uma tática ou técnica específica usando seu nome ou ID.

      A ilustração a seguir mostra como pesquisar uma tática, técnica ou qualquer informação contida neles.

    4. Clique em Filtros e selecione um filtro no Primário ou Avançado filtros.
    5. Clique em Aplicar e controlam os filtros da seguinte forma:
      • Para salvar seus filtros, crie uma exibição personalizada . Você pode criar e salvar três exibições personalizadas .
      • Para remover os filtros selecionados, clique em Restaurar filtros padrão para carregar sua exibição salva padrão.
      • Para limpar todos os filtros e sua exibição existente, clique em Limpar todos os filtros .
      Nota:
      As exibições salvas são específicas para um usuário.
    6. Clique em Ocultar subtécnicas para remover todas as subtécnicas da exibição de mapa térmico.
      Se uma técnica tiver subtécnicas, você poderá clicar no ícone Expandir para exibir as subtécnicas.

    Usando as exibições personalizadas

    Exibições personalizadas no MITRE-ATT&CK mapa de calor e navegador ajudam você a salvar e exibir seus filtros favoritos na próxima vez que você aterrar no mapa de calor.

    Nota:
    Você pode criar e salvar três exibições personalizadas para cada MITRE-ATT&CK coleção por usuário.

    Crie uma exibição

    Depois de selecionar os filtros necessários em Primário ou Avançado clique nas reticências (...) No cabeçalho Filtros e selecione Crie uma nova exibição . Insira o nome da exibição personalizada e. Salvar exibição .

    Exibições padrão

    Clique em Salve como exibição padrão para carregar diretamente a exibição na próxima vez que você pousar no mapa de calor. Você pode definir uma exibição padrão para cada uma das coleções.

    Nota:
    Se você estiver atualizando o. Inteligência contra ameaças plug-in de uma versão mais antiga, sua exibição padrão existente da versão antiga aparecerá como uma exibição personalizada.

    Atualizar uma exibição

    Você pode fazer atualizações em uma exibição personalizada existente modificando o necessário Primário ou Avançado filtros. Selecione uma exibição personalizada, atualize os filtros conforme necessário e clique nas reticências (...) No cabeçalho Filtros e selecione Atualizar exibição para salvar os filtros.

    Gerenciar exibições personalizadas

    Use as caixas de seleção ao lado de cada exibição personalizada para aplicar o filtro de exibição personalizada selecionado.

    Clique nas reticências (...) botão ao lado de cada nome de exibição personalizada para controlar as exibições personalizadas da seguinte forma:
    • Defina uma exibição padrão.
    • Remova uma exibição personalizada como exibição padrão. Isso não exclui a exibição personalizada.
    • Renomeie a exibição personalizada.
    • Exclua a exibição personalizada.

    Exporte uma exibição salva

    Para exportar as exibições personalizadas salvas para arquivos JSON, clique em reticências (...) No cabeçalho Filtros e selecione Exportar exibições salvas . Clique no ícone de download da exibição personalizada que você deseja baixar para o seu computador local.

    Importe uma exibição

    Você pode importar somente arquivos JSON. Para importar as exibições personalizadas, clique nas reticências (...) No cabeçalho Filtros e selecione Importar exibição (json) .

    Revise as seguintes condições ao importar exibições:
    • Você só pode importar o formato de arquivo JSON.
    • Você pode importar apenas uma exibição ou arquivo por vez.
    • Você não poderá importar se já tiver três exibições personalizadas em seus filtros. Exclua uma exibição personalizada e importe uma exibição.
    • Não é possível importar uma exibição com um nome de exibição personalizado existente. Renomeie uma exibição antes de importar.

    Navegador com filtros primários

    Use os filtros primários para filtrar técnicas no MITRE-ATT&CK navegador. As informações em MITRE-ATT&CK o repositório está disponível para seleção.

    Filtrar Descrição
    Grupo adversário (grupo de ameaças) Conjuntos de atividades de invasão relacionadas que são rastreadas por um nome comum na comunidade de segurança. Grupos podem significar vários grupos de ameaças, grupos de atividades, agentes de ameaça, conjuntos de invasão e campanhas. Você pode adicionar vários grupos ao Grupo adversário (grupo de ameaças) filtro.

    Por exemplo, você adiciona APT1 e AT12, pois ambos são grupos de ameaças atribuídos à China. Ambos os grupos podem ter como alvo fontes diferentes, mas eles podem usar técnicas semelhantes.
    Ferramenta Software legítimo que é usado por agentes de ameaça para executar ataques. Você pode entender como os agentes de ameaça executam campanhas se souber como e quais ferramentas são usadas pelos agentes de ameaça. As ferramentas incluem software que não é encontrado em um sistema empresarial e software que está disponível como parte de um sistema operacional que já está presente em um ambiente como os utilitários do Microsoft Windows.

    Por exemplo, gsecdump é um dumper de credenciais publicamente disponível que o grupo adversário do APTI1 usa para obter hashes de senha e segredos LSA (autoridade de segurança local) dos sistemas operacionais Microsoft Windows.
    Malware Software comercial, personalizado de código fechado ou de código aberto que se destina a ser usado para fins mal-intencionados por adversários.

    Os exemplos são PlugX, CHOPSTICK e assim por diante
    Plataforma Táticas e técnicas que representam MITRE-ATT&CK em uma plataforma específica.

    Por exemplo, MITRE-ATT&CK Oferece suporte a essas plataformas na matriz Enterprise ATT&CK: Microsoft Windows, macOS, Linux, PRE, AWS, Azure, Azure, Azure AD, Office 365, SaaS, rede.
    Fonte de dados Fontes de dados que você está coletando em seu ambiente e usando para detectar MITRE-ATT&CK técnicas.

    Os exemplos são monitoramento de DLL e extensões do navegador.
    A ilustração a seguir mostra todos os filtros primários disponíveis no MITRE-ATT&CK navegador.

    Filtros primários.

    Usando um mapa de calor com recursos primários e avançados

    Você pode usar um mapa de calor com filtros avançados para executar uma análise correlacionando incidentes de segurança com MITRE-ATT&CK informações.

    Exibir IDs de técnica

    Você pode exibir MITRE-ATT&CK IDs de técnica com os nomes das técnicas quando você seleciona IDs de técnica de exibição filtro.

    Exibir técnicas relevantes por prioridade

    Para filtrar as técnicas com base em sua prioridade relevante no navegador, selecione Filtrar por prioridade relevante da técnica filtre e selecione Prioridade relevante no menu. Você pode atribuir várias prioridades para filtragem. Você também pode apontar para as técnicas no mapa térmico para saber a prioridade da técnica.

    As informações de prioridade relevantes são baseadas na priorização que você definiu em Técnicas campo de prioridade relevante.

    Exibir cobertura de detecção de técnica

    Para exibir a cobertura geral de detecção de técnica no mapa de calor, selecione Exibir cobertura de detecção de técnica filtro. O mapa de calor destaca o espetro visual da cobertura de detecção, incluindo os pontos cegos onde você não tem cobertura. A definição de pontuação do sistema de base e as cores foram definidas em cobertura de detecção de técnica . As informações foram extraídas automaticamente da cobertura geral de detecção da técnica.

    Por exemplo, as áreas do mapa térmico marcadas em vermelho indicam falta de detecção. As áreas marcadas em azul indicam a presença de recursos de detecção completos. As áreas marcadas em laranja, amarelo e azul claro refletem as capacidades de detecção parcial.

    • A visualização de cores é baseada em definição da técnica e codificação por cores que você define.
    • A visualização de cobertura é baseada em mapeamento de cobertura de detecção de técnica que você define.
    • Se você modificar a definição de cobertura do sistema de base, os ícones de Tipo de cobertura não serão exibidos com as técnicas no mapa de calor.
      Nota:
      O mapa térmico funciona conforme o esperado quando você modifica os mesmos campos que as cores de cobertura e cobertura de detecção de técnica definidas pelo sistema de base.

    Nesta ilustração, você vê a cobertura de detecção de técnica para todas as técnicas e subtécnicas e o tipo de cobertura com suas cores e ícones.

    Exibir cobertura de mitigação de técnica

    Para exibir a cobertura geral de mitigação da técnica no mapa de calor, selecione o filtro Exibir cobertura de mitigação da técnica. O mapa de calor destaca o espectro visual da cobertura de mitigação, incluindo áreas nas quais você não tem cobertura. A cobertura de mitigação, as cores e os intervalos de porcentagem foram definidos em Definição de cobertura de mitigação . As informações são extraídas do Cobertura geral de mitigação de técnica .

    Por exemplo, as técnicas realçadas em vermelho indicam que não há cobertura de mitigação, laranja indica cobertura de mitigação ruim e azul indica cobertura de mitigação excelente.
    • A visualização de cores é baseada em definição de mitigação de técnica e codificação por cores que você define.
    • A visualização de cobertura é baseada em mapeamento de cobertura de mitigação de técnica que você define.
    • Se você modificar a definição de cobertura de mitigação do sistema de base, os ícones de Tipo de cobertura de mitigação não serão exibidos com as técnicas no mapa de calor.
      Nota:
      O mapa de calor funciona conforme o esperado quando você modifica os mesmos campos da cobertura de mitigação da técnica definida pelo sistema de base e as cores de cobertura.

    Exiba a cobertura de detecção e mitigação

    Você pode usar os filtros de detecção de técnica e cobertura de mitigação de técnica juntos para obter uma visão sobre a relevância da detecção de técnica e mitigar a cobertura para sua organização.

    Esta ilustração mostra como usar o filtro de detecção e mitigação juntos.

    Exibir grupo de ameaças

    Para exibir as informações do grupo de ameaças para a técnica no mapa de calor, selecione Exibir mapa térmico do grupo de ameaças . Você pode medir o número de grupos de ameaças que estão usando uma técnica específica. A probabilidade de um ataque usando uma técnica específica aumenta quando você tem um alto número de invasores. Os intervalos do grupo de ameaças e as cores do mapa de calor foram definidos em Definição do mapa térmico da técnica de grupo de ameaças .

    Exibir incidentes de segurança associados à técnica

    Para exibir as técnicas que são frequentemente exploradas em sua organização e que resultaram em incidentes de segurança, clique em Exiba o incidente de segurança associado à técnica . Você pode exibir mais informações sobre cada um dos incidentes de segurança associados ao clicar no link que abre em uma nova janela para análise.

    • Prioridade: Selecione Prioridade do incidente de segurança para filtrar pela prioridade do incidente de segurança.
    • Intervalo de datas: Selecione Intervalo de datas do incidente de segurança para filtrar problemas de segurança por intervalo de datas.
    • Falsos positivos: Selecione Filtrar incidente de segurança falso-positivos para remover problemas falso-positivos. Selecionar este filtro reduz o número de incidentes de segurança que você vê no mapa de calor.

    Quando você usa este filtro com Exibir cobertura de detecção de técnica ele fornece informações sobre a relevância da cobertura de detecção de técnica para sua organização até a data selecionada.

    Por exemplo, ao ativar ambos os filtros, você pode ver que, na tática de evasão de defesa, a técnica de mascaramento não tem cobertura. Se você procurar mais, a técnica de mascaramento está relacionada à Tarefa ou Serviço de mascaramento, que também tem um incidente de segurança associado a ela. Isso mostra que há uma lacuna na cobertura de detecção de técnica para a técnica de mascaramento e você pode querer revisar a cobertura geral de detecção de técnica.

    Exibir regras de detecção

    Para exibir se você tem as regras de detecção definidas para uma técnica específica, clique em Regras de detecção de exibição . Você também pode ver cada regra de detecção associada com sua definição.

    Essas informações são baseadas em mapeamento de regras de detecção que você definiu.

    Exibir CVEs associados à técnica

    Para exibir as informações CVE (Common Vulnerabilities and Exposures, vulnerabilidades e exposições comuns) associadas a cada uma das técnicas, clique em Exibir CVEs associados à técnica . As informações da técnica CVE TO são baseadas nas informações disponíveis em CVE - Módulo de mapeamento de técnica . Isso fornece informações sobre vulnerabilidades conhecidas e permite que você saiba se os adversários podem explorar sua organização.

    Importante:
    O mapa de calor foi aprimorado para exibir somente os CVEs relevantes associados aos Vits

    Para exibir Vits associados a CVEs e técnicas, selecione Exiba Vits associados a CVE e técnicas . Para filtrar ainda mais técnicas sem Vits, selecione Ocultar técnicas sem Vits . As informações de CVE e VIT exibidas são obtidas do Resposta a vulnerabilidades produto em seu ambiente. Você pode exibir a lista filtrada de CVEs e Vits no mapa de calor e navegar até cada CVE ou VIT para cada técnica do mapa de calor.

    Nota:
    • . Exibir CVEs associados à técnica está disponível somente quando Resposta a vulnerabilidades o produto está instalado em seu ambiente.
    • As informações de VIT e CVE são calculadas com base no trabalho agendado definido no MITRE-ATT&CK propriedades. O trabalho de programação do sistema de base está definido para 24 horas.

    Quando você usa este filtro com Exiba o incidente de segurança associado à técnica , você pode saber se as vulnerabilidades conhecidas causaram incidentes de segurança em sua organização.

    Você pode exibir mais informações sobre cada CVE para analisar se o CVE é relevante para sua organização. Para fazer isso, exiba os itens de vulnerabilidade. Se itens de vulnerabilidade forem criados, você poderá exibir mais informações sobre quaisquer informações de IC associadas em Resposta a vulnerabilidades módulo. Você também pode revisar a gravidade e a prioridade para tomar decisões informadas.

    Analisar incidentes de segurança

    Para analisar incidentes de segurança e revisar as técnicas usadas por um adversário para um ataque, clique em Analisar incidentes de segurança . Você pode adicionar vários incidentes de segurança para análise usando cadeias de caracteres separadas por vírgulas.

    Este filtro ajuda você a analisar um incidente de segurança. Você pode saber por que o incidente ocorreu, quais técnicas foram exploradas, se algum agente de ameaça conhecido estava envolvido, se os agentes de ameaça usaram uma sequência específica para um ataque e assim por diante. Como você pode analisar vários incidentes de segurança ao mesmo tempo, você pode correlacionar as informações para ver se eles estão relacionados ou se são um incidente isolado. Se os incidentes de segurança estiverem relacionados e você observar um padrão, poderá revisar o andamento deles na cadeia de destruição para interromper o ataque ou formar uma estratégia de defesa para sua organização.

    Quando você usa o. Analisar incidentes de segurança filtro com filtros primários, como um Grupo adversário , você pode correlacionar se adversários conhecidos estiverem envolvidos. Por exemplo, quando vários incidentes de segurança estão sendo analisados, as técnicas associadas aos incidentes de segurança estão presentes na forma de uma cadeia de destruição. Ao sobrepor as informações com o adversário, você notará uma sobreposição entre as técnicas associadas ao incidente de segurança e as técnicas associadas ao adversário. Somente as informações de técnica sobrepostas serão mostradas se ambos os filtros estiverem habilitados.

    Uso de sobreposição para analisar incidentes de segurança e grupos adversários

    Use Habilitar Sobreposição/Análise filtre para exibir o comportamento do adversário e analisar um ou mais incidentes de segurança e correlacionar as informações para ver se um ataque é um incidente isolado ou um ataque coordenado por um adversário conhecido.

    Por exemplo, agora você pode exibir os incidentes de segurança e o comportamento da cadeia de destruição do adversário da ameaça na mesma exibição. Esta exibição fornece informações de sobreposição que informam sobre o ataque e o comportamento do adversário conhecido. Isso permite que você analise se este é um ataque isolado ou coordenado por um adversário conhecido.

    Habilitar o filtro de análise de sobreposição ignora todos os filtros primários, exceto Grupo adversário e ignora o filtro avançado Filtrar por prioridade relevante da técnica ao gerar uma exibição.

    Depois de habilitar o filtro de análise de sobreposição, use a paleta de cores para atribuir cores para o seguinte:
    • Analisar incidente de segurança
    • Grupo adversário
    • Sobreposição

    A ilustração a seguir mostra que o grupo adversário APT18 está espalhado por várias técnicas e táticas na cadeia de destruição. A análise também mostra que há três técnicas que sobrepõem o grupo adversário e os incidentes de segurança que você está rastreando.