MITRE-ATT&CK Bewertungsdefinition

Washington DC Security Management

Release

washingtondc

ft:locale

de-DE

ft:publication_title

Washington DC Security Management

ft:clusterId

security

bundleId

security

workflow

Technology

MITRE-ATT&CK Bewertungsdefinition

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

1 Minute Lesedauer

Definieren Sie das Bewertungssystem MITRE-ATT&CK Ihrer Organisation, damit Sie messen können, wie effektiv Ihre Organisation bestimmte Angreifertechniken erkennen kann.

Tabelle : 1. Bewertungsdefinition
Punktzahl	Punktzahlzuordnung	Beschreibung
Keine	0	Unzureichende Daten, um eine bestimmte Angreifertechnik zu erkennen.
Mangelhaft	1	Grundlegende Signaturen und Korrelationsregeln sind vorhanden, um bestimmte Angreifertechniken zu erkennen. Die Bedrohungserkennung erfolgt nicht in Echtzeit und deckt nur eine minimale Anzahl von Aspekten einer Technik ab. Beispielsweise erfolgt die Suche jeweils nur für einen Endpunkt. In Ihrer Organisation gibt es möglicherweise noch Tausende oder Hunderte von Events, die von der Suchmaschine überprüft und mit anderen Events korreliert werden müssen, um Ausreißer zu finden. Die Anzahl der Falschmeldungen ist hoch.
Befriedigend	2	Es werden in großem Umfang die richtigen Daten gesammelt, und die Datenqualität ist angemessen. Beispielsweise beginnt Ihre Organisation möglicherweise damit, Sysmon-Protokolle, ETW, PowerShell-Protokolle und ähnliches hinzuzufügen. Die Bedrohungserkennung erfolgt jedoch immer noch nicht in Echtzeit. Ihre Organisation verfügt möglicherweise nicht über die richtigen Tools, um die Daten effektiv zusammenzufassen und zu analysieren. Um die Daten genau zu analysieren, müssen sie Abfragen manuell ausführen und korrelieren. Die Anzahl der Falschmeldungen ist hoch.
Gut	3	Echtzeiterkennung, die mehrere Daten über Ihre Endpunkte hinweg korreliert und integriert. Die Bedrohungserkennung deckt viele Aspekte der Verfahren einer Technik ab. Ihre Angreifer könnten möglicherweise die Erkennung umgehen, indem sie sie umgehen und verschleiern. Ihr Unternehmen kann Falschmeldungen leicht identifizieren und herausfiltern. Ihre Organisation verwendet grundlegende datenwissenschaftliche Techniken, um die Daten im zentralen Repository zu analysieren.
Sehr gut	4	Erkennen Sie schädliche Techniken effektiv in Echtzeit und decken Sie die meisten Aspekte der Verfahren einer Technik ab. Die Möglichkeit, dass Ihre Angreifer die Erkennung mit Umgehungs- und Verschleierungsmethoden umgehen, ist auf der Ebene „Gut“ schwieriger als. Ihr Unternehmen kann Falschmeldungen leicht identifizieren und herausfiltern. Ihre Organisation verwendet erweiterte datenwissenschaftliche Techniken, um die Angreifertechniken zu erkennen.
Ausgezeichnet	5	Erkennen Sie schädliche Techniken effektiv in Echtzeit und decken Sie alle Aspekte der Verfahren einer Technik ab. Ihre Organisation hat ein gutes Verständnis Ihrer Umgebung mit der richtigen Automatisierung und Qualität der Daten. Die Möglichkeit, dass Ihre Angreifer die Erkennung mit Umgehungs- und Verschleierungsmethoden umgehen, ist auf dieser Ebene nicht möglich. Die Anzahl der falsch-negativen Ergebnisse ist niedrig.