MITRE-ATT&CK Definição de pontuação

Zurich Security Management

Release: zurich
ft:locale: pt-BR
ft:publication_title: Zurich Security Management
ft:clusterId: security
bundleId: security
workflow: Technology

MITRE-ATT&CK Definição de pontuação

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

2 min. de leitura

Defina o da sua organização MITRE-ATT&CK sistema de pontuação para que você possa medir a eficácia com que sua organização pode detectar técnicas específicas de adversários.

Tabela 1. Definição de pontuação
Pontuação	Mapeamento de pontuação	Descrição
Nenhum(a)	0	Dados insuficientes para detectar uma técnica de adversário específica.
Ruim	1	Assinaturas básicas e regras de correlação estão em vigor para detectar técnicas específicas do adversário. A detecção de ameaças não ocorre em tempo real e abrange apenas um número mínimo de aspectos de uma técnica. Por exemplo, a caça ocorre somente em um endpoint de cada vez. Sua organização ainda pode ter milhares ou centenas de eventos que os caçadores devem revisar e correlacionar com outros eventos para encontrar exceções. O número de falsos positivos é alto.
Justo	2	Coletar os dados corretos em grande medida e a qualidade dos dados é justa. Por exemplo, sua organização pode estar começando a adicionar Logs do Sysmon, ETW, logs do PowerShell e similares. No entanto, a detecção de ameaças ainda não é em tempo real. Sua organização pode não ter todas as ferramentas certas para agregar e analisar os dados com eficácia. Os caçadores devem executar consultas manualmente e correlacionar para analisar os dados com precisão. O número de falsos positivos é alto.
Bom	3	Detecção em tempo real que correlaciona e integra vários dados em todos os endpoints. A detecção de ameaças abrange muitos aspectos dos procedimentos de uma técnica. Seus adversários podem ignorar a detecção com evasão e ofuscação. Sua organização pode identificar facilmente falsos positivos e filtrá-los. Sua organização usa técnicas básicas de ciência de dados para analisar os dados no repositório central.
Muito Bom	4	Detecte técnicas mal-intencionadas em tempo real e cubra a maioria dos aspectos dos procedimentos de uma técnica. A possibilidade de seus adversários contornarem a deteção com métodos de evasão e ofuscação é mais difícil do que no bom nível. Sua organização pode identificar facilmente falsos positivos e filtrá-los. Sua organização usa técnicas avançadas de ciência de dados para detectar as técnicas do adversário.
Excelente	5	Detecte técnicas mal-intencionadas em tempo real e cubra todos os aspectos dos procedimentos de uma técnica. Sua organização tem um bom entendimento do seu ambiente com a automação e a qualidade de dados corretas. A possibilidade de seus adversários ignorarem a detecção com métodos de evasão e ofuscação não é possível neste nível. O número de falsos negativos é baixo.