MITRE ATT&CK®ダッシュボードの使用中

この記事では、MITRE ATT\u0026CK®ダッシュボードを使用してネットワーク内の脅威の戦術と技術を概観する方法について説明します。

MITRE ATT\u0026CK®ダッシュボードの概要

MITRE ATT\u0026CK®ダッシュボードは、Cato IPSサービスによって特定された脅威をMITRE ATT\u0026CK®マトリックスに示された戦術と技術にマッピングします。 これにより、脅威を分析し、攻撃のさまざまなフェーズを特定するための強力なフレームワークを提供します。 MITRE ATT\u0026CK®戦術は攻撃ベクトルの高レベルの目標であり、技術はこれらの目標を達成するために使用される具体的な方法です。

ダッシュボードには、可視性とアナリティクスを提供するいくつかのウィジェットが含まれており、以下を含みます:

  • ネットワークで特定された戦術の概要、それぞれの戦術に対するイベントの数

  • 各戦術に対する技術の内訳

  • ネットワーク内で特定された最も一般的な技術

  • 各技術に対するデバイスの分布

  • 特定された戦術の時間分布

  • ネットワーク内で最も多くのセキュリティイベントを生成したソース

MITRE ATT\u0026CK®ダッシュボードの使い始め

MITRE ATT\u0026CK®ダッシュボードウィジェットは、ネットワーク内で特定された攻撃の戦術と技術の概要を示します。 また、それぞれの技術について詳細情報や分析を見たり、戦術や技術に対して事前にフィルターされたイベント画面を表示したりすることもできます。

デフォルトでは、ダッシュボードはIPS モニタ イベント (不審な活動 イベントを含む) とブロックイベントのデータを表示します。 より集中的な分析のために、ダッシュボードをフィルターして、モニタ イベントまたはブロック イベントのデータのみを表示することができます。

MITRE_Dashboard.png

MITRE ATT\u0026CK®ダッシュボードを表示するには:

MITRE ATT&CK® ダッシュボード ウィジェットの作業

このセクションでは、MITRE ATT&CK® ダッシュボードで利用可能なウィジェットを説明します。 ダッシュボードに表示されるデータは、設定された期間範囲に基づいています。

ウィジェットは次のとおりです:

  • 戦術の概要 - ダッシュボードの一番上の行には、ネットワークで特定された戦術が示され、それぞれの戦術に対するイベントの数が表示されています。 戦術は攻撃ライフサイクルのフェーズに従って左から右に配列されたMITRE ATT&CK® マトリクスに基づいて表示されます。

  • 技術の詳細 - 左側のパネルには、各戦術に使用された技術とその技術に対するイベント数が表示されます。 技術の行をクリックすると、以下の情報とウィジェットを含む詳細パネルが開きます:

    • MITRE ATT&CK® 定義に基づく戦術と技術の基本的な説明

    • 時間経過による攻撃 - この技術を使用した攻撃の時間分布。 クリックしてドラッグし、ズームイン:

      • イベントの時間

      • イベントの数

    • トップソース - 技術のためのトップソースのリストを示し、各ソースのMITRE ATT&CK® イベントの数も表示しています。 ソースの行をクリックしてテクニックとソース用に事前フィルターされたイベント画面を開きます。

    • デバイスの分布 - 一番下の行には、各OSに対する技術のために生成されたイベントの数と共にOSのアイコンが表示されます

    MITRE_Details.png

  • トップ技術 - 各技術のイベント数と共にトップMITRE ATT&CK® 技術のリストを示します。 技術名をクリックすると、その技術のために事前フィルターされたイベント画面が開きます。

  • 時間経過による戦術の分布 - 戦術ごとのイベントをタイムライン上でグラフ化します。

    MITRE_Tactics_Time_Widget.png

    • タイムラインのポイントについてのイベントの概要を表示するために、グラフ上でマウスをホバーします

    • 戦術のグラフをオンまたはオフにするには、トグルボタンをクリックします

    • 戦術の名前をクリックして、戦術用にフィルタ済みのイベント画面を開きます

    • クリック&ドラッグしてズームインします:

      • イベントの時間

      • イベント数

  • トップセキュリティイベント - MITRE ATT&CK®やその他のイベントタイプを含め、最も多くの全体的なセキュリティイベントを生成したソース。 MITRE攻撃手法の列には、ソース用に特定されたトップ手法が表示されます。

    • MITRE攻撃手法の列の数字にマウスをホバーして、ソースの追加の手法を表示します。

    • ソースの行をクリックして、ソース用にフィルタ済みのイベント画面を開きます。

MITRE ATT&CK®ダッシュボードを使用したサンプル脅威分析

侵入防止システムサービスが攻撃をブロックした後、MITRE ATT&CK®ダッシュボードでそれを分析し、将来的に似た攻撃を早期に阻止するための対策を講じることができます。 これは脅威分析と考えうる対策の例です:

  1. 左ペインには、初期アクセス戦略の下に80フィッシングイベントが表示されています。

  2. フィッシング技術の詳細パネルでは、上位のホストウィジェットが1人のユーザーが25のイベントを生成し、第二のユーザーが20を生成したことを示しています。

  3. 詳細パネルの最下行は、60のイベントがWindowsデバイスによって生成され、20がAndroidデバイスによって生成されたことを示しています。

  4. これらの攻撃に対する脆弱な理由を見つけるために、2つの問題のあるユーザーを調査します。

  5. 将来的にフィッシング攻撃を避けるために、ユーザーを教育し訓練します。

  6. ネットワーク上のすべてのWindowsおよびAndroidデバイスが必要なセキュリティ更新を受けていることを確認してください。

ライセンス情報

MITREライセンス

MITRE Corporation (MITRE)は、調査、展開、商用目的のためにATT&CK®を使用するための非独占的、ロイヤルティフリーのライセンスを提供します。 この目的のために作成するすべてのコピーは、MITREの著作権表示とこのライセンスをそのすべてのコピーに再現する限り許可されています。

© 2022 The MITRE Corporation。 この作業は、MITRE Corporationの許可を得て再現および配布されています。

免責事項

このアプリケーションの情報は、一般的な情報提供のみを目的としています。 アプリケーションの使用は、完全に自己責任で行われます。 このアプリケーションには第三者のコンテンツへのリンクが含まれている場合がありますが、当社はこれを保証、支持したり責任を負ったりしません。 Cato Networksは、アプリケーションや情報、サービス、またはアプリケーションに含まれる関連グラフィックの完全性、正確性、信頼性、適合性、可用性に関して、明示または黙示の保証や陳述を行っておりません。 従って、そのような情報に対するすべての依存は完全に自己責任で行われます。

いかなる場合においても、Cato Networksは、データまたは利益の損失に起因または関連して発生する、間接的または結果的な損失または損害を含む、いかなる損失または損害についても責任を負わないものとします。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント