MITRE ATT&CK のマッピングおよび可視化
MITRE ATT&CK フレームワークは、セキュリティー攻撃で使用される攻撃者の戦術を表します。 ここでは、エンタープライズ・ネットワークに対する高度かつ継続的な脅威で利用されることがある一般的な戦術、技法、および手順について記述します。
MITRE ATT&CK フレームワークでは、以下の攻撃フェーズが示されています。
| MITRE ATT&CK 戦術 | 説明 |
|---|---|
| コレクション | データを収集します。 |
| コマンドと制御 | コントロールされたシステムに接触します。 |
| 資格情報へのアクセス | ログイン情報とパスワード情報を盗みます。 |
| 防御回避 | 検出を回避します。 |
| 発見 | ユーザーの環境を把握します。 |
| 実行 | 悪意のあるコードを実行します。 |
| 流出 | データを盗みます。 |
| インパクト | システムやデータを操作、中断、または破棄しようとします。 |
| 初期アクセス | ユーザーの環境への侵入口を見つけます。 |
| ラテラル・ムーブメント | ユーザーの環境内を移動します。 |
| 永続性 | 足掛かりを維持します。 |
| 特権の昇格 | より高いレベルの許可を取得します。 |
| 偵察 | 将来の悪意のある操作に使用する情報を収集します。 この情報は、ユーザー設定で PRE プラットフォームが選択されている場合にのみ、MITRE レポートに表示されます。 |
| リソース開発 | 悪意のある操作をサポートするためのリソースを設定します。 この情報は、ユーザー設定で PRE プラットフォームが選択されている場合にのみ、MITRE レポートに表示されます。 |
戦術、技法、およびサブ技法
戦術は、ATT&CK 技法またはサブ技法の目的を表します。 例えば、攻撃者がネットワークへの資格情報アクセスを取得しようとしているなどです。
技法は、攻撃者がどのように目的を達成するかを表します。 例えば、攻撃者がネットワークへの資格情報アクセスを取得するために資格情報のダンプを取得するなどです。
サブ技法とは、攻撃者による目標達成のための動作に関するより具体的な説明を提供するものです。 (例: 攻撃者がローカル・セキュリティー権限 (LSA) 秘密鍵にアクセスして、資格情報をダンプするおそれがあるなど)