MITRE-ATT&CK Définition de notation
Définissez le système de notation de MITRE-ATT&CK votre organisation afin de pouvoir mesurer l’efficacité avec laquelle votre organisation peut détecter des techniques adversaires spécifiques.
| Score | Mappage de score | Description |
|---|---|---|
| Aucun | 0 | Données insuffisantes pour détecter une technique de l’adversaire spécifique. |
| Médiocre | 1 | Des signatures de base et des règles de corrélation sont en place pour détecter les techniques spécifiques des adversaires. La détection des menaces ne se fait pas en temps réel et ne couvre qu’un nombre minimal d’aspects d’une technique. Par exemple, la chasse ne se produit que sur un seul point de terminaison à la fois. Votre organisation peut encore avoir des milliers, voire des centaines d’événements que les chasseurs doivent examiner et corréler avec d’autres événements pour trouver des valeurs aberrantes. Le nombre de faux positifs est élevé. |
| Acceptable | 2 | La collecte des bonnes données dans une large mesure et la qualité des données est équitable. Par exemple, votre organisation commence peut-être à ajouter des journaux Sysmon, ETW, journaux PowerShell, etc. Cependant, la détection des menaces n’est toujours pas en temps réel. Votre organisation ne dispose peut-être pas de tous les outils nécessaires pour agréger et analyser efficacement les données. Les chasseurs doivent exécuter manuellement des requêtes et les corréler pour analyser avec précision les données. Le nombre de faux positifs est élevé. |
| Bien | 3 | Détection en temps réel qui met en corrélation et intègre plusieurs données sur vos terminaux. La détection des menaces couvre de nombreux aspects des procédures d’une technique. Vos adversaires pourraient éventuellement contourner la détection par l’évasion et l’obscurcissement. Votre organisation peut facilement identifier les faux positifs et les filtrer. Votre organisation utilise des techniques de science des données de base pour analyser les données du référentiel central. |
| Très bien | 4 | Détectez efficacement les techniques malveillantes en temps réel et couvrez la plupart des aspects des procédures d’une technique. La possibilité que vos adversaires contournent la détection avec des méthodes d’évasion et d’obscurcissement est plus difficile qu’au niveau Bon. Votre organisation peut facilement identifier les faux positifs et les filtrer. Votre organisation utilise des techniques avancées de science des données pour détecter les techniques des adversaires. |
| Excellent | 5 | Détectez efficacement les techniques malveillantes en temps réel et couvrez tous les aspects des procédures d’une technique. Votre organisation a une bonne compréhension de votre environnement avec la bonne automatisation et la bonne qualité des données. La possibilité que vos adversaires contournent la détection avec des méthodes d’évasion et d’obscurcissement n’est pas possible à ce niveau. Le nombre de faux négatifs est faible. |