MITRE-ATT&CK 히트맵 및 네비게이터

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 12분

    • 히트맵과 네비게이터를 MITRE-ATT&CK 사용하여 기본 탐색을 수행하고 전체 기술 탐지 범위를 시각화할 수 있습니다.

    MITRE-ATT&CK 히트맵 및 네비게이터 개요

    ATT&CK 행렬의 기본 탐색 및 관찰을 위해 기본 필터와 함께 탐색기를 사용할 수 있습니다. 히트맵은 조직에 적용 범위가 없는 사각지대를 포함하여 탐지 범위의 스펙트럼을 강조 표시합니다. 기술 탐지 범위를 매핑한 후에 사용할 수 있습니다.

    히트맵과 내비게이터를 사용하여 다음을 수행할 수 있습니다.
    • 조직의 탐지 역량을 빠르고 효율적으로 식별하고 기술 탐지 범위의 격차를 강조 표시합니다.
    • 위협을 헌팅하고 관련 기능을 사용하여 위협의 상관 관계를 지정합니다.

    히트맵 및 네비게이터에 MITRE-ATT&CK 액세스

    ATT&CK를 사용할 수 있는 매트릭스를 시각화할 수 있도록 히트맵과 네비게이터에 MITRE-ATT&CK 액세스합니다.

    시작하기 전에

    필요한 역할: sn_ti.read, sn_ti.mitre_analyst

    이 태스크 정보

    히트맵을 검토하고, 필터를 사용하여 상관 관계를 지정하고, 조직의 정보, 옵저버블 및 보안 인시던트에 MITRE-ATT&CK 대한 링크 분석을 수행할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 리포지토리 > 히트맵 및 네비게이터.
      히트맵과 탐색기가 새 탭에서 열립니다.
    2. 히트맵을 채울 소스를 선택합니다.
      주:
      활성화된 컬렉션매트릭스 만 소스 목록에 나타납니다.

      다음 그림에서는 히트맵 및 탐색기로 이동하는 방법과 소스(이 예에서는 Enterprise ATT&CK)를 선택하는 방법을 보여줍니다.

    3. 검색 상자를 사용하여 이름 또는 ID를 사용하여 특정 방법이나 기술을 빠르게 찾을 수 있습니다.

      다음 그림에서는 전술, 기술 또는 여기에 포함된 정보를 검색하는 방법을 보여 줍니다.

    4. 필터를 클릭하고 기본 또는 고급 필터에서 필터를 선택합니다.
    5. 적용을 클릭하고 다음과 같이 필터를 제어합니다.
      • 필터를 저장하려면 사용자 지정 뷰를 생성합니다. 3개의 사용자 지정 뷰를 생성하고 저장할 수 있습니다.
      • 선택한 필터를 제거하려면 Restore Default Filters(기본 필터 복원 )를 클릭하여 기본 저장 뷰를 로드합니다.
      • 모든 필터와 기존 뷰를 삭제하려면 모든 필터 지우기를 클릭합니다.
      주:
      저장되는 뷰는 특정 사용자에게만 해당됩니다.
    6. 히트맵 뷰에서 모든 하위 기술을 제거하려면 하위 기술 숨기기를 클릭합니다.
      기술에 하위 기술이 있는 경우 확장 아이콘을 클릭하여 하위 기술을 볼 수 있습니다.

    사용자 지정 뷰 사용

    히트 맵과 네비게이터의 MITRE-ATT&CK 사용자 지정 뷰를 사용하면 다음에 히트 맵에 도착할 때 즐겨 찾는 필터를 저장하고 볼 수 있습니다.

    주:
    사용자당 모든 MITRE-ATT&CK 컬렉션에 대해 3개의 사용자 지정 뷰를 생성하고 저장할 수 있습니다.

    뷰 생성

    기본 또는 고급 필터에서 필요한 필터를 선택한 후 필터 헤더에서 줄임표(...) 단추를 클릭하고 새 뷰 만들기를 선택합니다. 사용자 지정 뷰 이름을 입력하고 뷰를 저장합니다.

    기본 뷰

    이것을 기본 뷰로 저장을 클릭하여 다음에 히트 맵에 도착할 때 뷰를 직접 로드합니다. 각 컬렉션에 대해 기본 뷰를 설정할 수 있습니다.

    주:
    이전 버전에서 플러그인을 업그레이드하는 위협 인텔리전스 경우 이전 버전의 기존 기본 뷰가 사용자 지정 뷰로 나타납니다.

    뷰 업데이트

    필요한 기본 또는 고급 필터를 수정하여 기존 사용자 지정 뷰를 업데이트할 수 있습니다. 사용자 지정 보기를 선택하고 필요에 따라 필터를 업데이트한 다음 필터 헤더에서 줄임표(...) 단추를 클릭하고 보기 업데이트를 선택하여 필터를 저장합니다.

    사용자 지정 뷰 관리

    각 사용자 지정 뷰 옆에 있는 확인란을 사용하여 선택한 사용자 지정 뷰 필터를 적용합니다.

    각 사용자 정의 뷰 이름 옆에 있는 줄임표(...) 버튼을 클릭하여 다음과 같이 사용자 정의 뷰를 제어합니다.
    • 기본 뷰를 설정합니다.
    • 사용자 지정 뷰를 기본 뷰로 제거합니다. 이렇게 해도 사용자 지정 뷰는 삭제되지 않습니다.
    • 사용자 지정 뷰의 이름을 바꿉니다.
    • 사용자 지정 뷰를 삭제합니다.

    저장된 뷰 익스포트

    저장된 사용자 지정 보기를 JSON 파일로 내보내려면 필터 헤더에서 줄임표(...)를 클릭하고 저장된 보기 내보내기를 선택합니다. 로컬 컴퓨터에 다운로드할 사용자 지정 보기의 다운로드 아이콘을 클릭합니다.

    뷰 임포트

    JSON 파일만 임포트할 수 있습니다. 사용자 지정 뷰를 가져오려면 필터 헤더에서 줄임표(...) 단추를 클릭하고 뷰 임포트(json)를 선택합니다.

    뷰를 임포트할 때 다음 조건을 검토합니다.
    • JSON 파일 형식만 임포트할 수 있습니다.
    • 한 번에 하나의 뷰 또는 파일만 임포트할 수 있습니다.
    • 필터에 이미 세 개의 사용자 지정 뷰가 있는 경우 임포트할 수 없습니다. 사용자 지정 뷰를 삭제하고 뷰를 임포트합니다.
    • 기존 사용자 지정 뷰 이름이 있는 뷰는 임포트할 수 없습니다. 임포트하기 전에 뷰 이름을 바꿉니다.

    기본 필터가 있는 탐색기

    탐색기에서 MITRE-ATT&CK 기술을 필터링하려면 기본 필터를 사용합니다. 저장소의 MITRE-ATT&CK 정보를 선택할 수 있습니다.

    필터 설명
    반대 그룹(위협 그룹) 보안 커뮤니티에서 공통 이름으로 추적되는 관련 침입 활동 집합입니다. 그룹은 다양한 위협 그룹, 활동 그룹, 위협 행위자, 침입 세트 및 캠페인을 의미할 수 있습니다. 반대 그룹(위협 그룹) 필터에 여러 그룹을 추가할 수 있습니다.

    예를 들어 APT1 및 AT12는 둘 다 중국에 기인하는 위협 그룹이므로 추가합니다. 두 그룹 모두 서로 다른 출처를 대상으로 할 수 있지만 유사한 기술을 사용할 수 있습니다.
    도구 위협 행위자가 공격을 수행하는 데 사용하는 합법적인 소프트웨어입니다. 위협 행위자가 사용하는 방법과 도구를 알고 있으면 위협 행위자가 캠페인을 실행하는 방법을 이해할 수 있습니다. 도구에는 엔터프라이즈 시스템에서 찾을 수 없는 소프트웨어와 Microsoft Windows 유틸리티와 같은 환경에 이미 있는 운영 체제의 일부로 사용할 수 있는 소프트웨어가 모두 포함됩니다.

    예를 들어 gsecdump는 APTI1 악의적 그룹이 Microsoft Windows 운영 체제에서 암호 해시 및 LSA 비밀(로컬 보안 기관)을 가져오는 데 사용하는 공개적으로 사용 가능한 자격 증명 덤퍼입니다.
    맬웨어 상용, 사용자 지정 클로즈드 소스 또는 오픈 소스 소프트웨어로 악의적 사용자가 악의적인 목적으로 사용할 수 있습니다.

    PlugX, CHOPSTICK 등을 예로 들 수 있습니다
    플랫폼 특정 플랫폼을 대표 MITRE-ATT&CK 하는 전술 및 기술입니다.

    예를 들어 MITRE-ATT&CK Enterprise ATT&CK 매트릭스에서 Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Network 플랫폼을 지원합니다.
    데이터 소스 환경에서 수집하고 기술을 검색하는 MITRE-ATT&CK 데 사용하는 데이터 소스입니다.

    예를 들어 DLL 모니터링 및 브라우저 확장이 있습니다.
    다음 그림은 탐색기에서 MITRE-ATT&CK 사용할 수 있는 모든 기본 필터를 보여줍니다.

    기본 필터.

    기본 및 고급 기능이 있는 히트맵 사용

    고급 필터가 있는 히트맵을 사용하면 보안 인시던트와 MITRE-ATT&CK 정보의 상관관계를 지정하여 분석을 수행할 수 있습니다.

    기술 ID 보기

    기술 ID 표시 필터를 선택하면 기술 이름과 함께 기술 ID를 볼 MITRE-ATT&CK 수 있습니다.

    우선순위별 관련 기술 보기

    탐색기에서 관련 우선순위를 기준으로 기술을 필터링하려면 기술 관련 우선순위 필터를 기준으로 필터링을 선택하고 메뉴에서 관련 우선순위 를 선택합니다. 필터링에 여러 우선순위를 할당할 수 있습니다. 히트맵에서 기술을 가리켜 기술의 우선순위를 알 수도 있습니다.

    관련 우선순위 정보는 기술 관련 우선순위 필드에서 설정한 우선순위를 기반으로 합니다.

    기술 탐지 범위 보기

    히트맵에서 전체 기술 탐지 범위를 보려면 기술 탐지 범위 표시 필터를 선택합니다. 히트맵은 적용 범위가 없는 사각지대를 포함하여 감지 범위의 시각적 스펙트럼을 강조 표시합니다. 기본 시스템 점수 정의 및 색상은 기술 탐지 범위에서 정의되었습니다. 이 정보는 전체 기술 탐지 범위에서 자동으로 추출되었습니다.

    예를 들어 히트맵에서 빨간색으로 표시된 영역은 탐지 부족을 나타냅니다. 파란색으로 표시된 영역은 전체 검색 기능이 있음을 나타냅니다. 주황색, 노란색 및 연한 파란색으로 표시된 영역은 부분 검색 기능을 나타냅니다.

    • 색상 시각화는 사용자가 정의한 기술 정의와 색상 코딩 을 기반으로 합니다.
    • 범위 시각화는 정의한 기술 탐지 범위 매핑 을 기반으로 합니다.
    • 기본 시스템 범위 정의를 수정하면 범위 유형 아이콘이 히트맵의 기술과 함께 표시되지 않습니다.
      주:
      히트맵은 기본 시스템에서 정의한 기술, 탐지 범위 및 검사 색상과 동일한 필드를 수정할 때 예상대로 작동합니다.

    이 그림에서는 모든 기술 및 하위 기술에 대한 기술 탐지 범위와 범위 유형을 해당 색상 및 아이콘과 함께 볼 수 있습니다.

    기술 완화 범위 보기

    히트맵에서 전체 기술 완화 범위를 보려면 기술 완화 범위 표시 필터를 선택합니다. 히트맵은 적용 범위가 없는 영역을 포함하여 완화 범위의 시각적 스펙트럼을 강조 표시합니다. 완화 범위, 색상 및 백분율 범위는 완화 범위 정의에 정의되어 있습니다. 이 정보는 전체 기술 완화 범위에서 추출됩니다.

    예를 들어 빨간색으로 강조 표시된 기술은 완화 범위가 없음을 나타내고, 주황색은 완화 범위가 좋지 않음을 나타내고, 파란색은 완화 범위가 우수함을 나타냅니다.
    • 색상 시각화는 사용자가 정의하는 기술 완화 정의 및 색상 코딩 을 기반으로 합니다.
    • 범위 시각화는 사용자가 정의하는 기술 완화 범위 매핑 을 기반으로 합니다.
    • 기본 시스템 완화 범위 정의를 수정하면 완화 범위 유형 아이콘이 히트맵의 기술과 함께 표시되지 않습니다.
      주:
      히트맵은 기본 시스템에서 정의한 기술, 완화 범위 및 범위 색상과 동일한 필드를 수정할 때 예상대로 작동합니다.

    탐지 및 완화 범위 보기

    기술 탐지 및 기술 완화 범위 필터를 함께 사용하여 기술 탐지의 관련성에 대한 인사이트를 얻고 조직의 범위를 완화할 수 있습니다.

    이 그림에서는 검색 필터와 완화 필터를 함께 사용하는 방법을 보여 줍니다.

    위협 그룹 보기

    히트맵에서 위협 그룹 기술 정보를 보려면 Display threat group heat map(위협 그룹 히트맵 표시)을 선택합니다. 특정 기술을 사용하는 위협 그룹의 수를 측정할 수 있습니다. 공격자 수가 많을 때 특정 기술을 사용한 공격의 확률이 높아집니다. 위협 그룹 범위 및 히트맵 색상은 위협 그룹 기술 히트맵 정의에 정의되어 있습니다.

    기술과 관련된 보안 인시던트 보기

    조직에서 자주 악용되어 보안 인시던트를 유발한 기술을 보려면 기술과 관련된 보안 인시던트 표시를 클릭합니다. 분석을 위해 새 창에서 열리는 링크를 클릭하면 연관된 각 보안 인시던트에 대한 자세한 정보를 볼 수 있습니다.

    • 우선순위: 보안 인시던트 우선순위 를 선택하여 보안 인시던트 우선순위로 필터링합니다.
    • 날짜 범위: 보안 인시던트 날짜 범위를 선택하여 날짜 범위를 기준으로 보안 문제를 필터링합니다.
    • 가양성: 가양성 보안 인시던트 필터링 을 선택하여 가양성 문제를 제거합니다. 이 필터를 선택하면 히트맵에 표시되는 보안 인시던트 수가 줄어듭니다.

    이 필터를 표시 기술 탐지 범위 필터와 함께 사용하면 선택한 날짜까지 조직에 대한 기술 탐지 범위의 관련성에 대한 인사이트를 제공합니다.

    예를 들어 두 필터를 모두 켜면 방어 회피 전술에서 가장 기술이 적용되지 않는 것을 볼 수 있습니다. 더 자세히 살펴보면 가장 기술은 가장 작업 또는 서비스와 관련이 있으며 여기에는 연결된 보안 인시던트도 있습니다. 이는 Masquerading 기술에 대한 기술 탐지 범위에 차이가 있음을 보여주며 전체 기술 탐지 범위를 수정할 수 있습니다.

    탐지 규칙 보기

    특정 기술에 대해 정의된 탐지 규칙이 있는지 보려면 탐지 규칙 표시를 클릭합니다. 또한 연결된 각 탐지 규칙을 해당 정의와 함께 볼 수도 있습니다.

    이 정보는 사용자가 정의한 탐지 규칙 매핑 을 기반으로 합니다.

    기술과 관련된 CVE 보기

    각 기술과 연관된 CVE(Common Vulnerabilities and Exposures) 정보를 보려면 기술과 관련된 CVE 표시를 클릭하십시오. 기술 정보에 대한 CVE는 CVE - 기술 매핑 모듈에서 사용할 수 있는 정보를 기반으로 합니다. 이를 통해 알려진 취약성에 대한 인사이트를 얻을 수 있으며 공격자가 잠재적으로 조직을 악용할 수 있는지 여부를 알 수 있습니다.

    중요사항:
    히트맵이 VIT와 연결된 관련 CVE만 표시하도록 개선되었습니다

    CVE 및 기술과 연결된 VIT 를 보려면 CVE 및 기술과 연결된 VIT 표시를 선택합니다. 또한 VIT 없이 기술을 추가로 필터링하려면 VIT 없이 기술 숨기기를 선택합니다. 사용자가 보는 CVE 및 VIT 정보는 사용자 환경의 제품에서 취약성 대응 가져옵니다. 히트맵에서 필터링된 CVE 및 VIT 목록을 보고 히트맵에서 모든 기술에 대한 각 CVE 또는 VIT로 이동할 수 있습니다.

    주:
    • 기술과 연관된 CVE 표시는 제품이 사용자 환경에 설치된 경우에만 취약성 대응 사용할 수 있습니다.
    • VIT 및 CVE 정보는 에서 설정한 예약된 작업을 기반으로 계산됩니다. MITRE-ATT&CK 속성. 기본 시스템 일정 작업은 24시간으로 설정됩니다.

    이 필터를 기술과 관련된 보안 인시던트 표시 필터와 함께 사용하면 알려진 취약성으로 인해 조직에서 보안 인시던트가 발생했는지 여부를 파악할 수 있습니다.

    각 CVE에 대한 자세한 정보를 보고 CVE가 조직과 관련이 있는지 분석할 수 있습니다. 이렇게 하려면 취약성 항목을 확인합니다. 취약성 항목이 생성되면 모듈에서 관련 CI 정보에 대한 자세한 정보를 볼 수 있습니다 취약성 대응 . 또한 심각도와 우선순위를 검토하여 정보에 입각한 결정을 내릴 수 있습니다.

    보안 인시던트 분석

    보안 인시던트를 분석하고 공격에 악의적 사용자가 사용하는 기술을 검토하려면 보안 인시던트 분석을 클릭합니다. 쉼표로 구분된 문자열을 사용하여 분석을 위해 여러 보안 인시던트를 추가할 수 있습니다.

    이 필터는 보안 인시던트를 분석하는 데 도움이 됩니다. 인시던트가 발생한 이유, 악용된 기술, 알려진 위협 행위자가 관련되어 있는지, 위협 행위자가 공격에 특정 시퀀스를 사용했는지 등을 알 수 있습니다. 여러 보안 인시던트를 동시에 분석할 수 있으므로 정보의 상관 관계를 지정하여 서로 관련이 있는지 또는 격리된 인시던트인지 확인할 수 있습니다. 보안 인시던트가 관련되어 있고 패턴을 관찰하는 경우 킬 체인에서 진행 상황을 검토하여 공격을 차단하거나 조직에 대한 방어 전략을 수립할 수 있습니다.

    보안 인시던트 분석 필터를 악의적 그룹과 같은 기본 필터와 함께 사용하는 경우 알려진 악의적 사용자가 관련되어 있는지 상관 관계를 지정할 수 있습니다. 예를 들어 여러 보안 인시던트를 분석할 때 보안 인시던트와 관련된 기술이 킬 체인의 형태로 존재합니다. 정보를 악의적 사용자와 겹치면 보안 인시던트와 관련된 기술과 악의적 공격자와 관련된 기술 간에 중복되는 것을 확인할 수 있습니다. 두 필터가 모두 활성화된 경우 중복된 기술 정보만 표시됩니다.

    오버레이를 사용하여 보안 인시던트 및 악의적 그룹 분석

    오버레이/분석 사용 필터를 사용하여 악의적 동작을 확인하고, 하나 이상의 보안 인시던트를 분석하고, 정보의 상관 관계를 지정하여 공격이 고립된 인시던트인지 알려진 악의적 사용자가 조직한 공격인지 확인합니다.

    예를 들어 이제 보안 인시던트와 위협 악의적 킬 체인 동작을 동일한 보기에서 볼 수 있습니다. 이 보기는 공격 및 알려진 악의적 동작을 알려주는 겹침 정보를 제공합니다. 이를 통해 이것이 고립된 공격인지 알려진 악의적 공격에 의한 조정된 공격인지 분석할 수 있습니다.

    오버레이 분석 필터를 사용하도록 설정하면 반대 그룹 필터를 제외한 모든 기본 필터가 무시되고 뷰를 생성하는 동안 기술 관련 우선순위별 고급 필터가 무시됩니다.

    오버레이 분석 필터를 활성화한 후 색상표를 사용하여 다음에 대한 색상을 할당합니다.
    • 보안 인시던트 분석
    • 반대 그룹
    • 오버레이

    다음 그림은 공격자 그룹 APT18이 킬 체인의 여러 기술과 전술에 분산되어 있음을 보여줍니다. 또한 분석 결과, 추적 중인 악의적 그룹 및 보안 인시던트를 오버레이하는 세 가지 기술이 있음을 알 수 있습니다.