MITRE ATT&CK フレームワークとの統合
EventLog Analyzerは、MITRE ATT&CK フレームワークを統合してネットワークセキュリティを堅牢に監視することにより、攻撃者を特定し、攻撃を分類し、攻撃の戦術と手法を特定するのに役立ちます。
MITRE ATT&CK フレームワークとは?
MITRE ATT&CK フレームワークは、世界中のITセキュリティ専門家向けの攻撃百科事典として機能するように常に更新されている様々な攻撃手法でマッピングされた攻撃戦術のマトリックスです。
戦術は、以下のような攻撃者の目的を示します。
- 初期アクセス(Initial Access)
- 実行(Execution)
- 永続性(Persistence)
- 権限昇格(Privilege Escalation)
- 防御回避(Defense Evasion)
- 認証情報アクセス(Credential Access)
- 探索(Discovery)
- 水平展開(Lateral Movement)
- 収集(Collection)
- C&C(Commnad and Control)
- 持出(Exfiltration)
- 影響(Impact)
アカウント操作、アクセストークン操作、ブルートフォースなどの様々な攻撃手法が、有害な事象や異常の特定に役立つ戦術に関連付けられています。このフレームワークは、サイバーセキュリティ愛好家の中で最新の攻撃パターンに関するコミュニケーションを円滑にするために世界的に採用されています。
EventLog Analyzerに MITER ATT&CK フレームワークを統合するために必要な事前設定
攻撃者を検出するには、ネットワークイベントを綿密に監視および追跡することが最も重要です。フレームワークから総合的に洞察を得るには、ネットワーク内の以下のカテゴリ配下にある高度な監査ポリシー設定を有効にする必要があります。
- アカウントログオン
- アカウントの管理
- ディレクトリサービス(DS)アクセス
- ログオン/ログオフイベント
- オブジェクトアクセス
- ポリシーの変更
- 特権の使用
- 詳細追跡
- システムイベント
- AppLocker監査
- Windows Defenderの攻撃表面の縮小(Windows Defender Attack Surface Reduction)