MITRE-ATT&CK Bewertungsdefinition
Definieren Sie die Ihrer Organisation MITRE-ATT&CK Bewertungssystem, mit dem Sie messen können, wie effektiv Ihre Organisation bestimmte Angreifertechniken erkennen kann.
| Punktzahl | Punktzahlzuordnung | Beschreibung |
|---|---|---|
| Keine | 0 | Unzureichende Daten, um eine bestimmte Angreifertechnik zu erkennen. |
| Mangelhaft | 1 | Grundlegende Signaturen und Korrelationsregeln sind vorhanden, um bestimmte Angreifertechniken zu erkennen. Die Bedrohungserkennung erfolgt nicht in Echtzeit und deckt nur eine minimale Anzahl von Aspekten einer Technik ab. Beispielsweise findet die Jagd jeweils nur an einem Endpunkt statt. Ihre Organisation hat möglicherweise noch Tausende oder Hunderte von Ereignissen, die Jäger überprüfen und mit anderen Ereignissen korrelieren müssen, um Ausreißer zu finden. Die Anzahl der falsch positiven Ergebnisse ist hoch. |
| Befriedigend | 2 | Die Erfassung der richtigen Daten in großem Umfang und die Datenqualität ist fair. Beispielsweise könnte Ihre Organisation beginnen, Sysmon-Protokolle, ETW, PowerShell-Protokolle usw. hinzuzufügen. Die Bedrohungserkennung erfolgt jedoch immer noch nicht in Echtzeit. Ihre Organisation verfügt möglicherweise nicht über die richtigen Tools, um die Daten effektiv zusammenzufassen und zu analysieren. Jäger müssen manuell Abfragen ausführen und korrelieren, um die Daten genau zu analysieren. Die Anzahl der falsch positiven Ergebnisse ist hoch. |
| Gut | 3 | Echtzeiterkennung, die mehrere Daten über Ihre Endpunkte hinweg korreliert und integriert. Die Bedrohungserkennung deckt viele Aspekte der Verfahren einer Technik ab. Ihre Angreifer könnten die Erkennung möglicherweise durch Ausweichen und Verschleierung umgehen. Ihre Organisation kann einfach falsch positive Ergebnisse identifizieren und herausfiltern. Ihre Organisation verwendet grundlegende datenwissenschaftliche Techniken, um die Daten im zentralen Repository zu analysieren. |
| Sehr gut | 4 | Erkennen Sie schädliche Techniken effektiv in Echtzeit, und decken Sie die meisten Aspekte der Verfahren einer Technik ab. Die Möglichkeit, dass Ihre Angreifer die Erkennung mit Ausweichungs- und Verschleierungsmethoden umgehen, ist schwieriger als auf einem guten Niveau. Ihre Organisation kann einfach falsch positive Ergebnisse identifizieren und herausfiltern. Ihre Organisation verwendet erweiterte Data Science-Techniken, um die Angreifertechniken zu erkennen. |
| Ausgezeichnet | 5 | Erkennen Sie schädliche Techniken effektiv in Echtzeit, und decken Sie alle Aspekte der Verfahren einer Technik ab. Ihre Organisation hat ein gutes Verständnis Ihrer Umgebung mit der richtigen Automatisierung und Datenqualität. Die Möglichkeit, dass Ihre Angreifer die Erkennung mit Ausweichungs- und Verschleierungsmethoden umgehen, ist auf dieser Ebene nicht möglich. Die Anzahl der falsch negativen Elemente ist niedrig. |