本文讨论如何使用MITRE ATT\u0026CK\u00ae仪表板来概览网络中的威胁策略和技术。
MITRE ATT\u0026CK\u00ae仪表板将Cato IPS服务识别出的威胁映射到MITRE ATT\u0026CK\u00ae矩阵中呈现的策略和技术。 这为分析威胁和识别攻击的各个阶段提供了强大的框架。 MITRE ATT\u0026CK\u00ae策略是攻击向量中的高层目标,而技术则是实现这些目标的具体方法。
仪表板包含多个小部件,提供包括以下内容的可见性和分析:
-
概览网络中识别出的策略及每个策略的事件数量
-
每个策略的技术分解
-
网络中识别出的最常见技术
-
每项技术的设备分布
-
识别出的策略的时间分布
-
在您的网络中生成最多安全事件的来源
MITRE ATT\u0026CK\u00ae仪表板小部件呈现网络中识别出的攻击策略和技术的概览。 您还可以深入查看每种技术的详细信息和分析,或查看预过滤的策略或技术的事件屏幕。
默认情况下,仪表板显示IPS监控事件(包括可疑活动事件)和阻止事件的数据。 为进行更有针对性的分析,您可以过滤仪表板,仅显示监控事件或阻止事件的数据。
显示MITRE ATT\u0026CK\u00ae仪表板:
-
从导航菜单中,点击安全性 > MITRE ATT\u0026CK\u00ae。
有关使用仪表板的更多信息,请参见配置过滤器以分析仪表板数据和设置时间范围过滤器。 仪表板的最大日期范围是90天。
本节说明MITRE ATT\u0026CK\u00ae仪表板中可用的小部件。 仪表板中显示的数据基于配置的时间范围。
这些是小部件:
-
策略摘要 - 仪表板的顶行显示在您网络中识别出的策略,以及为每个策略生成的事件数量。 策略根据攻击生命周期的各个阶段显示,遵循MITRE ATT\u0026CK\u00ae矩阵中左到右的排列。
-
技术分解 - 左窗格显示每个策略使用的技术以及每个技术的事件数。 点击技术的行以打开包含以下信息和小部件的详情面板:
-
根据MITRE ATT\u0026CK\u00ae定义的策略和技术的基本描述
-
随时间的攻击 - 使用此技术的攻击的时间分布。 点击并拖动以放大:
-
事件发生时间
-
事件数量
-
-
主要来源 - 显示该技术的主要来源列表,以及每个来源的MITRE ATT\u0026CK\u00ae事件数量。 点击来源行以打开预过滤的技术和来源的事件屏幕。
-
设备分布 - 底行显示操作系统图标以及在每个操作系统上为该技术生成的事件数量
-
-
最常见的攻击技术 - 显示MITRE ATT\u0026CK\u00ae技术列表及每个技术的事件数量。 点击技术名称以打开预过滤的事件屏幕。
-
随时间分布的战术 - 在时间线上绘制每个策略的事件。
-
将鼠标悬停在图表上以显示时间线上某个点的事件摘要
-
点击策略的切换按钮以打开或关闭其图表
-
点击策略名称以打开预过滤的事件屏幕
-
点击并拖动以放大:
-
事件发生时间
-
事件数量
-
-
-
顶级安全事件 - 生成最多总体安全事件的来源,包括MITRE ATT\u0026CK\u00ae和其他事件类型。 MITRE攻击技术列显示为来源识别的顶级技术。
-
将鼠标悬停在MITRE攻击技术列中的数字上,以显示该来源的其他技术。
-
点击来源行以打开预过滤的来源事件屏幕。
-
在入侵防护系统服务阻止攻击后,您可以使用MITRE ATT\u0026CK\u00ae仪表板分析攻击,并采取措施在更早阶段阻止相似的未来攻击。 这是一个威胁分析和可能操作的示例:
-
左窗格在初始访问策略下显示80个钓鱼事件。
-
在钓鱼技术的详情面板中,顶级主机小部件显示一个用户生成了25个事件,另一个用户生成了20个。
-
详情面板底行显示60个事件由Windows设备生成,20个由Android设备生成。
-
调查这两个问题用户,找出他们为何容易受到这些攻击。
-
教育和培训用户以避免未来的钓鱼攻击。
-
验证您的网络上所有Windows和Android设备是否已安装所需的安全更新。
0 条评论
请登录写评论。