概要

MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) フレームワークでは、サイバー攻撃の各ステージで使用されるさまざまな攻撃テクニックを文書化して追跡します。

サイバー脅威インテリジェンスコミュニティでは、MITRE-ATT&CK フレームワークのナレッジベースを使用することで、脅威を迅速に特定し、サイバー攻撃への対応を調整できます。

MITRE-ATT&CK および Security Operations

MITRE-ATT&CK 情報が セキュリティオペレーション アプリケーションにどう流れていくかは、次の図を参照してください。

MITRE-ATT&CK のマトリクス、戦術、テクニック

戦術は、ATT&CK テクニックの理由を表します。これは、アクションを実行するための攻撃者の戦術的目標です。

テクニックは、攻撃者がアクションを実行して戦術的目標を達成する方法を表します。

テクニックは複数の戦術に関連付けられている場合があります。たとえば、アクセストークン操作は、特権エスカレーションまたは防御回避のいずれかの戦術を達成するために攻撃者によって使用されます。

インシデント応答にインテントベースのアプローチを使用する

インテントベースの応答では、組織がセキュリティインシデントを関連付けて広範囲の攻撃を特定するのに役立つ、動的なコンテキストに応じたキルチェーンフレームワークを使用します。セキュリティチームは、インテントベースの応答を使用して、組織がどのように攻撃され、攻撃者が次に何をする可能性があるかを理解できます。このタイプの応答により、攻撃者の行動を予測できるため、リソースを効果的に集中できます。

セキュリティチームは、セキュリティインシデントレスポンス を使用して、IP アドレス、ファイルハッシュ、ドメインなどのセキュリティ侵害のインジケーター (IOC) に焦点を当てることで、各セキュリティインシデントのライフサイクルを管理できます。

セキュリティインシデントレスポンス と MITRE-ATT&CK フレームワークを統合することで、セキュリティインシデントは企業規模の大規模な攻撃のリンクとして処理されます。

Security Operations で MITRE-ATT&CK を活用した場合の組織へのメリット

MITRE-ATT&CK フレームワークを使用すると、組織は次のことができます。

• セキュリティインシデントを適切に分析して対応するための MITRE-ATT&CK 戦術、テクニック、および手順 (TTP) をセキュリティアナリストに提供します。
• MITRE-ATT&CK フレームワークのコンテキストで脅威を検出して封じ込めるためのプレイブックを使用して、インシデントワークフローを自動化します。
• MITRE-ATT&CK の情報を使用してセキュリティ侵害のインジケーターと脅威ハンティングを優先順位付けします。
• MITRE-ATT&CK フレームワークのコンテキストで組織の高レベルのセキュリティ体制を把握します。