조직에서 특정 공격자 기술을 얼마나 효과적으로 탐지할 수 있는지 측정할 수 있도록 조직의 MITRE-ATT&CK 채점 시스템을 정의합니다.

표 1. 점수 매기기 정의

포인트	점수 매핑	설명
안 함	0	데이터가 부족하여 특정 악의적 기술을 탐지할 수 없습니다.
불량	1	특정 악의적 기술을 탐지하기 위한 기본 서명 및 상관 관계 규칙이 마련되어 있습니다. 위협 탐지는 실시간이 아니며 기술의 최소 측면만 다룹니다. 예를 들어 헌팅은 한 번에 하나의 끝점에서만 발생합니다. 귀하의 조직에는 사냥꾼이 이상값을 찾기 위해 검토하고 다른 이벤트와 연관시켜야 하는 수천 또는 수백 개의 이벤트가 있을 수 있습니다. 가양성 수가 많습니다.
보통	2	올바른 데이터를 상당 부분 수집하고 데이터 품질은 공정합니다. 예를 들어 조직에서 Sysmon 로그, ETW, PowerShell 로그 등을 추가하기 시작할 수 있습니다. 그러나 위협 탐지는 여전히 실시간으로 이루어지지 않습니다. 조직에는 데이터를 효과적으로 집계하고 분석하는 데 적합한 도구가 없을 수 있습니다. 헌터는 데이터를 정확하게 분석하기 위해 수동으로 쿼리를 실행하고 상관 관계를 지정해야 합니다. 가양성 수가 많습니다.
좋음	3	엔드포인트 전체에서 여러 데이터의 상관 관계를 지정하고 통합하는 실시간 탐지입니다. 위협 탐지는 기술 절차의 여러 측면을 다룹니다. 공격자는 회피 및 난독 처리로 탐지를 우회할 수 있습니다. 조직에서 가양성을 쉽게 식별하고 필터링할 수 있습니다. 조직은 기본 데이터 과학 기술을 사용하여 중앙 리포지토리의 데이터를 분석합니다.
매우 좋음	4	실시간으로 악성 기술을 효과적으로 탐지하고 기술 절차의 대부분의 측면을 다룹니다. 상대방이 회피 및 난독화 방법으로 탐지를 우회할 가능성은 양호 수준보다 어렵습니다. 조직에서 가양성을 쉽게 식별하고 필터링할 수 있습니다. 조직은 고급 데이터 과학 기술을 사용하여 악의적 기술을 탐지합니다.
우수	5	실시간으로 악성 기술을 효과적으로 탐지하고 기술 절차의 모든 측면을 다룹니다. 조직은 적절한 자동화 및 데이터 품질로 환경을 잘 이해하고 있습니다. 악의적 사용자가 회피 및 난독화 방법으로 탐지를 우회할 가능성은 이 수준에서 불가능합니다. 거짓 부정의 수가 적습니다.