Модуль MITRE ATT&CK

Модуль позволяет применить в защищаемой инфраструктуре различные сценарии использования MITRE ATT&CK:

• оценить покрытие техник инструментальными контролями
• сформировать специализированные модели угроз и применить их к компонентам ИТ-ландшафта
• детектировать потенциальное использование техник на основе событий от источников данных

Функциональные характеристики

Матрица тактик и техник

С помощью визуального интерфейса в виде матрицы тактик и техник возможно сформировать модели угроз, выбирая актуальные техники для конкретного контура/слоя.

Набор фильтров позволит быстро выбрать только актуальные техники на базе присутствующих в контуре источников событий, платформ. Можно выбрать конкретные группы злоумышленников и сконцентрироваться на техниках, используемых конкретной группировкой (группировками).

Набор корреляционных правил

Модуль содержит базовый набор корреляционных правил. Присутствует собственный редактор для создания/редактирования правил.

Каждое правило соотносится определенной технике, тактике, источнику событий. Это позволяет обогатить срабатывание дополнительными метаданными и связать потенциальный инцидент, с целью, которую преследует злоумышленник, совершая действие, а также рекомендациями по смягчению/устранению из базы знаний MITRE ATT&CK.

Выявление инцидентов

Для правил, срабатывание которых явно указывает на действия злоумышленника в инфраструктуре, есть возможность настроить фиксацию инцидента в модуле Incident Manager.

Пользователю предоставляется визуальный интерфейс с системой фильтров, для проведения анализа обнаруженных техники с разбивкой по тактикам.