MITRE-ATT&CK Framework-Übersicht

Freigeben Version: Australia

Aktualisiert 12. März 2026

3 Minuten Lesedauer

Die MITRE-ATT&CK Framework ist eine Knowledge Base mit allgemeinen Taktiken, Techniken und Verfahren (TTP), auf die Ihre Organisation zugreifen kann, um spezifische Bedrohungsmodelle und -Methoden gegen Cyberangriffe zu entwickeln.

Die MITRE Das Framework für Angreifertaktiken, Techniken und allgemeines Wissen (ATT&CK) dokumentiert und verfolgt verschiedene Angreifertechniken, die in verschiedenen Phasen eines Cyberangriffs verwendet werden.

Durch Verwendung von MITRE-ATT&CK Die Knowledge Base des Frameworks, die Community von CyberThreat Intelligence, kann Bedrohungen schnell identifizieren und Antworten auf Cyberangriffe koordinieren.

MITRE-ATT&CK und Security Operations

L Verdienen Sie, wie MITRE-ATT&CK Informationen fließen mit Security Operations Anwendungen.

Die zugehörigen Listen namens Vorab geladen TAXII Client Stellt eine Verbindung mit her TAXII Server zum Erfassen von Datensammlungen Bis Threat Intelligence.
Vorhanden Integrationen des Sicherheitsinformations- und Ereignismanagers (SIEM) Erfassen Sie ihre Bedrohungsdaten (Warnungen und Ereignisse) mit relevanten TTPs und sind Ist Security Incidents zugeordnet .
Wenn ein IOC ist einem Security Incident zugeordnet , Threat Intelligence Sucht automatisch Bedrohungsfeeds nach relevanten Informationen und sendet IoCs an Drittpartei-Quellen wie EDR, Sandbox oder TIP, um zusätzliche Analysen zu erhalten.
Wenn eine Drittpartei-Quelle enthält MITRE-ATT&CK Informationen, dann Threat Intelligence Extrahiert die Technikinformationen Und ergänzt die Daten in Threat Intelligence Repository für Korrelation und Analyse.
MITRE-ATT&CK Teilt auch CVE-Kontextinformationen Für jede Technik. Ihr Sicherheitsteam kann die ausgenutzten Techniken in überprüfen Vulnerability Response Um festzustellen, ob Ihre geschäftskritischen Assets bedroht sind.

MITRE-ATT&CK Matrizen, Taktiken und Techniken

Der Kern von MITRE-ATT&CK Framework ist eine Matrix von Taktiken und Techniken von Angreifern. Die Sequenz der Taktiken stellt dar, was ein Angreifer in der Phase eines Incidents erreichen möchte. Wenn Ihr Sicherheitsteam diese Sequenz versteht, haben Sie die Möglichkeit, den nächsten Schritt eines Angreifers zu antizipieren und die Tötungskette zu brechen. ATT&CK besteht aus den folgenden Matrizen:

Enterprise ATT&CK: Beschreibt das Verhalten und die Aktionen, die ein Angreifer unternimmt, um ein Unternehmensnetzwerk und eine Cloud zu kompromittieren und in diesem Betrieb zu arbeiten.
Hinweis:
Die Matrix vor ATT&CK wurde von veraltet MITRE Und wird mit der Enterprise-Matrix zusammengeführt.
ICs ATT&CK: Beschreibt die Aktionen, die ein Angreifer beim Betrieb in einem ICs-Netzwerk (Industrial Control Systems) ausführt.
Mobile ATT&CK: Beschreibt das Verhalten und die Aktionen von Angreifern, die sich auf Mobilgeräte konzentrieren.

Taktiken stellen den Grund für eine ATT&CK-Technik dar. Dies ist das taktische Ziel des Angreifers zum Ausführen einer Aktion.

Techniken stellen dar, wie ein Angreifer ein taktisches Ziel durch Ausführen einer Aktion erreicht.

Techniken können mehr als einer Taktik zugeordnet sein. Beispielsweise wird die Manipulation von Zugriffstoken von einem Angreifer verwendet, um entweder die Taktik der Berechtigungseskalation oder der Abwehrumgehung zu erreichen.

Verwendung eines absichtsbasierten Ansatzes für Incident-Antworten

Eine absichtsbasierte Antwort verwendet ein dynamisches und kontextbezogenes Kill Chain-Framework, das Ihrer Organisation helfen kann, Security Incidents zu korrelieren und einen großen Umfang von Angriffen zu identifizieren. Ihr Sicherheitsteam kann eine absichtsbasierte Antwort verwenden, um zu verstehen, wie die Organisation angegriffen wird und was der Angreifer als Nächstes tun könnte. Mit dieser Art von Antwort können Sie das Verhalten eines Angreifers vorhersagen, damit Sie Ihre Ressourcen effektiv fokussieren können.

Wird Verwendet Security Incident Response, Ihr Sicherheitsteam kann den Lebenszyklus jedes Security Incidents von der Analyse bis zur Eindämmung verwalten, indem Sie sich auf kompromittierte Indikatoren (IOCs) wie IP-Adressen, Datei-Hashes und Domänen konzentrieren.

Durch Integration Security Incident Response Mit MITRE-ATT&CK Framework, Security Incidents werden bei einem größeren unternehmensweiten Angriff als Links behandelt.

Wie Ihre Organisation profitieren kann MITRE-ATT&CK In Security Operations

Mit MITRE-ATT&CK Framework kann Ihrer Organisation helfen, Folgendes zu tun:

Statten Sie Sicherheitsanalysten mit aus MITRE-ATT&CK Taktiken, Techniken und Verfahren (TTPs), um Security Incidents besser zu analysieren und darauf zu reagieren.
Automatisieren Sie die Incident-Workflows mithilfe des Playbooks zum Erkennen und Eindämmen von Bedrohungen im Kontext von MITRE-ATT&CK Framework.
Priorisieren Sie Indikatoren für Kompromittierung und Bedrohungssuche mit MITRE-ATT&CK Informationen.
Machen Sie sich mit der allgemeinen Sicherheitslage Ihrer Organisation im Kontext von vertraut MITRE-ATT&CK Framework.