MITRE-ATT&CK Bewertungsdefinition
Definieren Sie das Bewertungssystem MITRE-ATT&CK Ihrer Organisation, damit Sie messen können, wie effektiv Ihre Organisation bestimmte Angreifertechniken erkennen kann.
| Punktzahl | Punktzahlzuordnung | Beschreibung |
|---|---|---|
| Keine | 0 | Unzureichende Daten, um eine bestimmte Angreifertechnik zu erkennen. |
| Mangelhaft | 1 | Es sind grundlegende Signaturen und Korrelationsregeln vorhanden, um bestimmte Angreifertechniken zu erkennen. Die Bedrohungserkennung erfolgt nicht in Echtzeit und deckt nur eine minimale Anzahl von Aspekten einer Technik ab. Beispiel: Die Suche erfolgt jeweils nur an einem Endpunkt. Ihre Organisation verfügt möglicherweise noch über Tausende oder Hunderte von Ereignissen, die von Bearbeitern überprüft und mit anderen Ereignissen korreliert werden müssen, um Sonderfälle zu ermitteln. Die Anzahl der falsch positiven Ergebnisse ist hoch. |
| Befriedigend | 2 | Es werden in großem Umfang die richtigen Daten gesammelt, und die Datenqualität ist fair. Beispielsweise könnte Ihre Organisation damit beginnen, Sysmon-Protokolle, ETW, PowerShell-Protokolle und Ähnliches hinzuzufügen. Die Bedrohungserkennung erfolgt jedoch immer noch nicht in Echtzeit. Ihre Organisation verfügt möglicherweise nicht über die richtigen Tools, um die Daten effektiv zusammenzufassen und zu analysieren. Um die Daten genau zu analysieren, müssen sie manuell Abfragen ausführen und korrelieren. Die Anzahl der falsch positiven Ergebnisse ist hoch. |
| Gut | 3 | Echtzeiterkennung, die mehrere Daten über Ihre Endpunkte hinweg korreliert und integriert. Die Bedrohungserkennung deckt viele Aspekte der Verfahren einer Technik ab. Ihre Angreifer können möglicherweise die Erkennung durch Umgehung und Verschleierung umgehen. Ihre Organisation kann Falschmeldungen leicht identifizieren und herausfiltern. Ihre Organisation verwendet grundlegende Data-Science-Techniken, um die Daten im zentralen Repository zu analysieren. |
| Sehr gut | 4 | Erkennen Sie schädliche Techniken effektiv und in Echtzeit, und decken Sie die meisten Aspekte der Verfahren einer Technik ab. Die Möglichkeit, dass Ihre Angreifer die Erkennung mit Umgehungs- und Verschleierungsmethoden umgehen, ist schwerwiegender als auf der Stufe „Gut“. Ihre Organisation kann Falschmeldungen leicht identifizieren und herausfiltern. Ihre Organisation verwendet hochentwickelte Data-Science-Techniken, um die Angreifertechniken zu erkennen. |
| Ausgezeichnet | 5 | Erkennen Sie schädliche Techniken effektiv und in Echtzeit, und decken Sie alle Aspekte der Verfahren einer Technik ab. Ihre Organisation versteht Ihre Umgebung mit der richtigen Automatisierung und Qualität der Daten gut. Die Möglichkeit, dass Ihre Angreifer die Erkennung mit Umgehungs- und Verschleierungsmethoden umgehen, ist auf dieser Ebene nicht möglich. Die Anzahl der falsch negativen Ergebnisse ist niedrig. |