MITRE-ATT&CK Heatmap und Navigator

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 13 Minuten Lesedauer

    • Sie können verwenden MITRE-ATT&CK Heatmap und Navigator für die grundlegende Navigation und zur Visualisierung Ihrer Gesamterkennungsabdeckung für Technik.

    Übersicht über MITRE-ATT&CK Heatmap und Navigator

    Sie können den Navigator mit den primären Filtern für die grundlegende Navigation und Beobachtung von ATT&CK-Matrizen verwenden. Die Heatmap hebt das Spektrum der Erkennungsabdeckung hervor, einschließlich der toten Winkel, für die Ihre Organisation keine Abdeckung hat. Dies ist verfügbar, nachdem Sie zugeordnet haben Technikerkennungsabdeckung.

    Mit der Heatmap und dem Navigator können Sie:
    • Identifizieren Sie schnell und effizient die Erkennungsfunktionen Ihrer Organisation, und heben Sie Lücken in der Abdeckung der Technikerkennung hervor.
    • Suchen Sie mithilfe zugehöriger Funktionen nach Bedrohungen, und führen Sie eine Korrelation von Bedrohungen durch.

    Greifen Sie auf zu MITRE-ATT&CK Heatmap und Navigator

    Greifen Sie auf zu MITRE-ATT&CK Heatmap und Navigator, damit Sie die Matrix visualisieren können, mit der Sie ATT&CK verwenden können.

    Vorbereitungen

    Erforderliche Rolle: sn_ti.read, sn_ti.Mitre_Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Heatmap überprüfen, die Filter zum Korrelieren verwenden und eine Linkanalyse von durchführen MITRE-ATT&CK Informationen, die erkennbaren Elemente und die Security Incidents in Ihrer Organisation.

    Prozedur

    1. Navigieren zu Alle > Threat Intelligence > MITRE ATT&CK-Repository > Heatmap und Navigatoran.
      Die Heatmap und der Navigator werden in einer neuen Registerkarte geöffnet.
    2. Wählen Sie die Quelle aus, um die Heatmap auszufüllen.
      Hinweis:
      Nur die Sammlungen Und Matrizen Aktivierte werden in der Quellliste angezeigt.

      In der folgenden Abbildung sehen Sie, wie Sie zur Heatmap und zum Navigator navigieren und die Quelle auswählen, die Enterprise ATT&CK in diesem Beispiel ist.

    3. Verwenden Sie das Suchfeld, um mithilfe des Namens oder der ID schnell eine bestimmte Taktik oder Technik zu finden.

      Die folgende Abbildung zeigt, wie nach einer Taktik, Technik oder anderen darin enthaltenen Informationen gesucht wird.

    4. Klicken Sie Auf Filter Und wählen Sie einen Filter aus Primär Oder Erweitert Filter.
    5. Klicken Sie Auf Anwenden Und steuern Sie die Filter wie folgt:
      • So speichern Sie Ihre Filter: Erstellen Sie eine anwenderdefinierte Ansicht . Sie können drei erstellen und speichern Anwenderdefinierte Ansichten .
      • Klicken Sie auf, um die ausgewählten Filter zu entfernen Standardfilter Wiederherstellen Zum Laden Ihrer gespeicherten Standardansicht.
      • Um alle Filter und Ihre vorhandene Ansicht zu löschen, klicken Sie auf Löschen Sie alle Filter .
      Hinweis:
      Die Ansichten, die Sie speichern, sind spezifisch für einen Anwender.
    6. Klicken Sie Auf Blenden Sie Untertechniken Aus Zum Entfernen aller Untertechniken aus der Heatmap-Ansicht.
      Wenn eine Technik über Untertechniken verfügt, können Sie auf das Erweiterungssymbol klicken, um die Untertechniken anzuzeigen.

    Mithilfe der anwenderdefinierten Ansichten

    Anwenderdefinierte Ansichten in MITRE-ATT&CK Heatmap und Navigator helfen Ihnen, Ihre Lieblingsfilter zu speichern und anzuzeigen, wenn Sie das nächste Mal auf der Heatmap landen.

    Hinweis:
    Sie können drei anwenderdefinierte Ansichten für jeden erstellen und speichern MITRE-ATT&CK Sammlung pro Anwender.

    Erstellen Sie eine Ansicht

    Sobald Sie die erforderlichen Filter aus der ausgewählt haben Primär Oder Erweitert Filter, klicken Sie auf die Auslassungspunkte (…). Schaltfläche im Header „Filter“, und wählen Sie aus Erstellen Sie eine neue Ansicht . Geben Sie den Namen der anwenderdefinierten Ansicht und ein Ansicht Speichern .

    Standardansichten

    Klicken Sie Auf Speichern Sie dies als Standardansicht Dient zum direkten Laden der Ansicht, wenn Sie das nächste Mal auf der Heatmap landen. Sie können für jede der Sammlungen eine Standardansicht festlegen.

    Hinweis:
    Wenn Sie ein Upgrade von durchführen Threat Intelligence Plugin aus einer älteren Version, dann wird Ihre vorhandene Standardansicht aus der alten Version als anwenderdefinierte Ansicht angezeigt.

    Aktualisieren Sie eine Ansicht

    Sie können Aktualisierungen an einer vorhandenen anwenderdefinierten Ansicht vornehmen, indem Sie die erforderlichen ändern Primär Oder Erweitert Filter. Wählen Sie eine anwenderdefinierte Ansicht aus, aktualisieren Sie die Filter nach Bedarf, und klicken Sie dann auf die Auslassungspunkte (…). Schaltfläche im Header „Filter“, und wählen Sie aus Ansicht aktualisieren Zum Speichern der Filter.

    Verwalten Sie anwenderdefinierte Ansichten

    Verwenden Sie die Kontrollkästchen neben jeder anwenderdefinierten Ansicht, um den ausgewählten anwenderdefinierten Ansichtsfilter anzuwenden.

    Klicken Sie auf die Auslassungspunkte (…). Schaltfläche neben jedem Namen der anwenderdefinierten Ansicht, um die anwenderdefinierten Ansichten wie folgt zu steuern:
    • Legen Sie eine Standardansicht fest.
    • Entfernen Sie eine anwenderdefinierte Ansicht als Standardansicht. Dadurch wird die anwenderdefinierte Ansicht nicht gelöscht.
    • Benennen Sie die anwenderdefinierte Ansicht um.
    • Löschen Sie die anwenderdefinierte Ansicht.

    Exportieren Sie eine gespeicherte Ansicht

    Um die gespeicherten anwenderdefinierten Ansichten in JSON-Dateien zu exportieren, klicken Sie auf die Auslassungspunkte (…). Wählen Sie im Header Filter die Option aus Exportieren Sie gespeicherte Ansichten . Klicken Sie auf das Download-Symbol für die anwenderdefinierte Ansicht, die Sie auf Ihren lokalen Computer herunterladen möchten.

    Importieren Sie eine Ansicht

    Sie können nur JSON-Dateien importieren. Um die anwenderdefinierten Ansichten zu importieren, klicken Sie auf die Auslassungspunkte (…). Schaltfläche im Header „Filter“, und wählen Sie aus Importansicht (JSON) .

    Überprüfen Sie beim Importieren von Ansichten die folgenden Bedingungen:
    • Sie können nur das JSON-Dateiformat importieren.
    • Sie können jeweils nur eine Ansicht oder Datei importieren.
    • Sie können nicht importieren, wenn Sie bereits drei anwenderdefinierte Ansichten in Ihren Filtern haben. Löschen Sie eine anwenderdefinierte Ansicht, und importieren Sie eine Ansicht.
    • Sie können keine Ansicht mit einem vorhandenen anwenderdefinierten Ansichtsnamen importieren. Benennen Sie eine Ansicht vor dem Import um.

    Navigator mit primären Filtern

    Verwenden Sie die primären Filter, um Techniken in zu filtern MITRE-ATT&CK navigator. Die Informationen in MITRE-ATT&CK Repository kann ausgewählt werden.

    Filter Beschreibung
    Angreifergruppe (Bedrohungsgruppe) Sätze zugehöriger Angriffsaktivitäten, die von einem allgemeinen Namen in der Sicherheits-Community nachverfolgt werden. Gruppen können verschiedene Bedrohungsgruppen, Aktivitätsgruppen, Bedrohungsakteure, Angriffssätze und Kampagnen bedeuten. Sie können dem mehrere Gruppen hinzufügen Angreifergruppe (Bedrohungsgruppe) Filter.

    Sie fügen beispielsweise APT1 und AT12 hinzu, da beide Bedrohungsgruppen sind, die China zugeordnet sind. Beide Gruppen können zwar auf verschiedene Quellen abzielen, sie könnten jedoch ähnliche Techniken verwenden.
    Tool Legitime Software, die von Bedrohungsakteuren zum Ausführen von Angriffen verwendet wird. Sie können verstehen, wie Bedrohungsakteure Kampagnen ausführen, wenn Sie wissen, wie und welche Tools von Bedrohungsakteuren verwendet werden. Tools enthalten sowohl Software, die nicht auf einem Enterprise-System gefunden wird, als auch Software, die als Teil eines Betriebssystems verfügbar ist, das bereits in einer Umgebung wie Microsoft Windows-Dienstprogrammen vorhanden ist.

    Beispielsweise ist gsecdump ein öffentlich verfügbarer Anmeldeinformations-Dumper, den die APTI1-Angreifergruppe verwendet, um Passwort-Hashes und LSA-Geheimnisse (Local Security Authority) von Microsoft Windows-Betriebssystemen zu erhalten.
    Malware Kommerzielle, anwenderdefinierte Closed Source- oder Open Source-Software, die für böswillige Zwecke von Angreifern verwendet werden soll.

    Beispiele sind PlugX, CHOPSTICK usw.
    Plattform Taktiken und Techniken, die darstellen MITRE-ATT&CK In einer bestimmten Plattform.

    Beispiel: MITRE-ATT&CK Unterstützt diese Plattformen in der Enterprise ATT&CK-Matrix: Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Netzwerk.
    Datenquelle Datenquellen, die Sie in Ihrer Umgebung erfassen und zur Erkennung verwenden MITRE-ATT&CK Techniken.

    Beispiele sind DLL-Überwachung und Browsererweiterungen.
    Die folgende Abbildung zeigt alle primären Filter, die in verfügbar sind MITRE-ATT&CK navigator.

    Primäre Filter.

    Verwenden einer Heatmap mit primären und erweiterten Funktionen

    Sie können eine Heatmap mit erweiterten Filtern verwenden, um eine Analyse durchzuführen, indem Sie Security Incidents mit korrelieren MITRE-ATT&CK Informationen.

    Technik-IDs anzeigen

    Sie können anzeigen MITRE-ATT&CK Technik-IDs mit den Techniknamen, wenn Sie auswählen Technik-IDs anzeigen Filter.

    Zeigen Sie relevante Techniken nach Priorität an

    Um die Techniken basierend auf ihrer relevanten Priorität im Navigator zu filtern, wählen Sie aus Filtern Sie nach technikrelevanter Priorität Filtern und wählen Sie aus Relevante Priorität Aus dem Menü. Sie können mehrere Prioritäten für die Filterung zuweisen. Sie können auch auf die Techniken in der Heatmap verweisen, um die Priorität der Technik zu erfahren.

    Die relevanten Prioritätsinformationen basieren auf der Priorisierung, die Sie in festgelegt haben Techniken Relevantes Prioritätsfeld.

    Zeigen Sie die Abdeckung der Technik-Erkennung an

    Um die Gesamterkennungsabdeckung der Technik in der Heatmap anzuzeigen, wählen Sie aus Zeigen Sie die Abdeckung der Technikerkennung an Filter. Die Heatmap hebt das visuelle Spektrum der Erkennungsabdeckung hervor, einschließlich der toten Winkel, für die Sie keine Abdeckung haben. Die Bewertungsdefinition des Basissystems und die Farben wurden in definiert Technikerkennungsabdeckung . Die Informationen wurden automatisch aus der gesamten Technikerkennungsabdeckung extrahiert.

    Beispielsweise weisen Bereiche der Heatmap, die rot markiert sind, auf eine fehlende Erkennung hin. Bereiche, die blau markiert sind, zeigen das Vorhandensein vollständiger Erkennungsfunktionen an. Bereiche, die orange, gelb und hellblau markiert sind, spiegeln Teilerkennungsfunktionen wider.

    • Die Farbvisualisierung basiert auf Technikdefinition und Farbcodierung Die Sie definieren.
    • Die Visualisierung der Abdeckung basiert auf Zuordnung der Technikerkennungsabdeckung Die Sie definieren.
    • Wenn Sie die Abdeckungsdefinition des Basissystems ändern, werden die Symbole für Abdeckungstyp nicht mit den Techniken in der Heatmap angezeigt.
      Hinweis:
      Die Heatmap funktioniert erwartungsgemäß, wenn Sie dieselben Felder ändern, wie die vom Basissystem definierten Technikerkennungsfarben und Abdeckungsfarben.

    In dieser Abbildung sehen Sie die Technikerkennungsabdeckung für alle Techniken und Untertechniken und den Abdeckungstyp mit ihren Farben und Symbolen.

    Zeigen Sie die Abdeckung der Technikminderung an

    Um die Gesamtabdeckung der Technikminderung in der Heatmap anzuzeigen, wählen Sie den Filter „Abdeckung der Technikminderung anzeigen“ aus. Die Heatmap hebt das visuelle Spektrum der Minderungsabdeckung hervor, einschließlich der Bereiche, für die Sie keine Abdeckung haben. Die Minderungsabdeckung, die Farben und die Prozentbereiche wurden in definiert Definition Der Minderungsabdeckung . Die Informationen werden aus extrahiert Gesamtabdeckung Der Technikminderung .

    Zum Beispiel weisen die rot hervorgehobenen Techniken auf keine Minderungsabdeckung hin, orange auf eine schlechte Minderungsabdeckung und blau auf eine ausgezeichnete Minderungsabdeckung.
    • Die Farbvisualisierung basiert auf Definition der Technikminderung und Farbcodierung Die Sie definieren.
    • Die Visualisierung der Abdeckung basiert auf Zuordnung der Technikverringerung zur Abdeckung Die Sie definieren.
    • Wenn Sie die Definition der Minderungsabdeckung des Basissystems ändern, werden die Symbole für den Typ der Minderungsabdeckung nicht mit den Techniken in der Heatmap angezeigt.
      Hinweis:
      Die Heatmap funktioniert erwartungsgemäß, wenn Sie dieselben Felder ändern, wie die vom Basissystem definierten Techniken zur Verringerung der Abdeckung und Abdeckungsfarben des Basissystems.

    Zeigen Sie die Erkennung und Minderungsabdeckung an

    Sie können die Filter für Technikerkennung und Technikminderung zusammen verwenden, um einen Einblick in die Relevanz der Technikerkennung und der Abdeckung für Ihre Organisation zu erhalten.

    Diese Abbildung zeigt, wie der Erkennungs- und Minderungsfilter zusammen verwendet werden.

    Bedrohungsgruppe anzeigen

    Um Informationen zur Bedrohungsgruppe zu Technik auf der Heatmap anzuzeigen, wählen Sie aus Bedrohungsgruppen-Heatmap anzeigen . Sie können die Anzahl der Bedrohungsgruppen messen, die eine bestimmte Technik verwenden. Die Wahrscheinlichkeit eines Angriffs mit einer bestimmten Technik erhöht sich, wenn Sie eine hohe Anzahl von Angreifern haben. Die Bedrohungsgruppenbereiche und Heatmap-Farben wurden in definiert Definition Der Heatmap Für Bedrohungsgruppe – Technik .

    Zeigen Sie Security Incidents an, die der Technik zugeordnet sind

    Um die Techniken anzuzeigen, die in Ihrer Organisation häufig ausgenutzt werden und zu Security Incidents geführt haben, klicken Sie auf Security Incident anzeigen, der der Technik zugeordnet ist . Sie können weitere Informationen zu jedem der zugehörigen Security Incidents anzeigen, wenn Sie auf den Link klicken, der in einem neuen Fenster zur Analyse geöffnet wird.

    • Priorität: Wählen Sie Aus Security Incident-Priorität Zum Filtern nach der Priorität des Security Incidents.
    • Datumsbereich: Wählen Sie aus Datumsbereich Für Security Incident Dient zum Filtern von Sicherheitsproblemen nach dem Datumsbereich.
    • Falsch positive Ergebnisse: Auswählen Filtern Sie falsch positive Security Incidents Um falsch positive Probleme zu entfernen. Wenn Sie diesen Filter auswählen, wird die Anzahl der Security Incidents reduziert, die in der Heatmap angezeigt werden.

    Wenn Sie diesen Filter mit verwenden Zeigen Sie die Abdeckung der Technikerkennung an Filtern, erhalten Sie einen Einblick in die Relevanz der Technikerkennungsabdeckung für Ihre Organisation bis zum ausgewählten Datum.

    Wenn Sie beispielsweise beide Filter aktivieren, können Sie sehen, dass unter der Taktik zur Ausweichung der Verteidigung die Maskade-Technik keine Abdeckung hat. Wenn Sie weiter suchen, bezieht sich die Masquerading-Technik auf die Masquerade-Aufgabe oder den Masquerade-Service, der auch einen Security Incident zugeordnet ist. Dies zeigt, dass es eine Lücke in der Technikerkennungsabdeckung für die Masquerading-Technik gibt und Sie die gesamte Technikerkennungsabdeckung überarbeiten möchten.

    Zeigen Sie Erkennungsregeln an

    Um anzuzeigen, ob die Erkennungsregeln für eine bestimmte Technik definiert sind, klicken Sie auf Erkennungsregeln anzeigen . Sie können auch jede zugeordnete Erkennungsregel mit ihrer Definition anzeigen.

    Diese Informationen basieren auf Zuordnung von Erkennungsregeln Die Sie definiert haben.

    Zeigen Sie CVEs an, die der Technik zugeordnet sind

    Um die Informationen zu allgemeinen Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVE) anzuzeigen, die den einzelnen Techniken zugeordnet sind, klicken Sie auf Zeigt CVEs an, die der Technik zugeordnet sind . Die CVE-zu-Technik-Informationen basieren auf den Informationen, die in verfügbar sind CVE – Technikzuordnungsmodul . Dies bietet Ihnen Einblicke in bekannte Schwachstellen und informiert Sie, ob Angreifer Ihre Organisation potenziell ausnutzen können.

    Wichtig:
    Die Heatmap wird erweitert, um nur die relevanten CVEs anzuzeigen, die den Vits zugeordnet sind

    Um Vits anzuzeigen, die CVEs und Techniken zugeordnet sind, wählen Sie aus Vits anzeigen, die CVE und Techniken zugeordnet sind . Um weitere Filtertechniken ohne Vits zu filtern, wählen Sie außerdem aus Techniken ohne Vits ausblenden . Die von Ihnen angezeigten CVE- und VIT-Informationen werden aus abgerufen Vulnerability Response Produkt in Ihrer Umgebung. Sie können die gefilterte Liste der CVEs und Vits in der Heatmap anzeigen und für jede Technik aus der Heatmap zu jedem CVE oder VIT navigieren.

    Hinweis:
    • Die Zeigt CVEs an, die der Technik zugeordnet sind Ist nur verfügbar, wenn Vulnerability Response Produkt ist in Ihrer Umgebung installiert.
    • Die VIT- und CVE-Informationen werden basierend auf der geplanten Aufgabe berechnet, die Sie in festgelegt haben MITRE-ATT&CK Eigenschaftenan. Der Planungsauftrag des Basissystems ist auf 24 Stunden festgelegt.

    Wenn Sie diesen Filter mit verwenden Security Incident anzeigen, der der Technik zugeordnet ist Filtern, können Sie erfahren, ob die bekannten Schwachstellen Security Incidents in Ihrer Organisation verursacht haben.

    Sie können weitere Informationen zu jedem CVE anzeigen, um zu analysieren, ob das CVE für Ihre Organisation relevant ist. Zeigen Sie dazu die Schwachstellen-Elemente an. Wenn Schwachstellenelemente erstellt werden, können Sie weitere Informationen zu allen zugehörigen CI-Informationen in anzeigen Vulnerability Response Modul. Sie können auch den Schweregrad und die Priorität überprüfen, um fundierte Entscheidungen zu treffen.

    Analysieren Sie Security Incidents

    Um Security Incidents zu analysieren und die Techniken zu überprüfen, die von einem Angreifer für einen Angriff verwendet werden, klicken Sie auf Analysieren Sie Security Incidents . Sie können mehrere Security Incidents zur Analyse hinzufügen, indem Sie kommagetrennte Zeichenfolgen verwenden.

    Dieser Filter hilft Ihnen, einen Security Incident zu analysieren. Sie können erfahren, warum der Incident aufgetreten ist, welche Techniken ausgenutzt wurden, ob bekannte Bedrohungsakteure beteiligt waren, ob die Bedrohungsakteure eine bestimmte Sequenz für einen Angriff verwendet haben usw. Da Sie mehrere Security Incidents gleichzeitig analysieren können, können Sie die Informationen korrelieren, um festzustellen, ob sie zugehörig sind oder ob es sich um einen isolierten Incident handelt. Wenn die Security Incidents zusammenhängen und Sie ein Muster beobachten, können Sie ihren Fortschritt in der Auslösekette überprüfen, um den Angriff zu stoppen oder eine Verteidigungsstrategie für Ihre Organisation zu erstellen.

    Wenn Sie verwenden Analysieren Sie Security Incidents Filter mit primären Filtern, z. B. einem Angreifergruppe , Sie können korrelieren, ob bekannte Angreifer beteiligt sind. Wenn beispielsweise mehrere Security Incidents analysiert werden, sind die Techniken, die den Security Incidents zugeordnet sind, in Form einer Kill Chain vorhanden. Wenn Sie die Informationen mit dem Angreifer überschneiden, bemerken Sie eine Überschneidung zwischen den Techniken, die dem Security Incident zugeordnet sind, und den Techniken, die dem Angreifer zugeordnet sind. Nur die Informationen zur überlappenden Technik werden angezeigt, wenn beide Filter aktiviert sind.

    Verwenden von Overlay, um Security Incidents und Angreifergruppen zu analysieren

    Verwenden Sie Aktivieren Sie Überlagerung/Analysieren Filter, um das Verhalten der Angreifer anzuzeigen, einen oder mehrere der Security Incidents zu analysieren und die Informationen zu korrelieren, um zu sehen, ob ein Angriff ein isolierter Incident oder ein koordinierter Angriff eines bekannten Angreifers ist.

    Sie können beispielsweise jetzt die Security Incidents und das Verhalten der Kill Chain von Angreifern von Bedrohungen in derselben Ansicht anzeigen. Diese Ansicht enthält Überschneidungsinformationen, die Sie über den Angriff und das bekannte Angreiferverhalten informieren. Auf diese Weise können Sie analysieren, ob es sich um einen isolierten Angriff oder einen koordinierten Angriff eines bekannten Angreifers handelt.

    Durch Aktivieren des Überlagerungsfilters „Analysieren“ werden alle primären Filter außer ignoriert Angreifergruppe Filtern und ignoriert den erweiterten Filter Filtern Sie nach technikrelevanter Priorität Beim Generieren einer Ansicht.

    Sobald Sie den Überlagerungsfilter „Analysieren“ aktiviert haben, verwenden Sie die Farbpalette, um Farben für Folgendes zuzuweisen:
    • Analysieren Sie Security Incident
    • Angreifergruppe
    • Überlagerung

    Die folgende Abbildung zeigt, dass die Angreifergruppe APT18 auf mehrere Techniken und Taktiken in der Kill Chain verteilt ist. Die Analyse zeigt auch, dass es drei Techniken gibt, die die Angreifergruppe und Security Incidents, die Sie nachverfolgen, überlagern.