MITRE ATT&CK Evaluations (2020年実施分)の個人的な結果検証 その4 | reverse-eg-mal-memoのブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

reverse-eg-mal-memoのブログ

サイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。
medium(英語):https://sachiel-archangel.medium.com/

MITRE ATT&CK Evaluations (2020年実施分)の個人的な結果検証 その4

「検知」を基準としたシナリオベースの評価マトリックス

Mitre Engenuity Att&ck Evaluations (Carbanak+FIN7) のシナリオの検知結果を以下に示します。
 
なお、評価基準は昨年と同様にしています。
 
MITRE ATT&CK Evaluations (APT29)の個人的な結果検証 その3

 

 

 

基準部分を再掲します。

 

  • 検知したかどうかを重視するため、General、Tactic、Techniqueを〇とする。
  • 検知はできなかったものの、後で検証するときに使えるエビデンスがあるということで、Telemetryは△とする。
  • 検知も情報収集もできていなかったNoneは×とする。
  • 評価は実施項目単位で、複数評価があった場合は一番いいものを評価対象とする。(例:一つの実施項目に「Technique」と「Telemetry」があった場合、「Technique」による検知があったと判断し、その実施項目は「〇」とする。)
  • 検出の修飾子は、今回の評価対象では特にスコアには影響しない。
 

シナリオ1:「Carbanak」による金融機関に対する攻撃の検知結果(前半)

*ブログの表示幅とタグを含めた文字数の関係で、分割掲載します。
 
  ID AL Bf CP ci CS Cr CC BC Cn El ES Fi FE Fo F-S GS Mb MA MF Ms



1.A.1 ×
1.A.2 × × ×
1.A.3
1.A.4 × × × × × × × × ×
1.A.5 ×
1.A.6 × ×
1.A.7
1.A.8
1.A.9
1.A.10 × × × × × × × × × × ×
1.A.11 × × × × × × × × × ×











2.A.1                                        
2.A.2 × × × × × × × × × ×
2.A.3                                        
2.A.4 × × × × × × × × × ×
2.B.1 × ×
2.B.2
2.B.3
2.B.4 × × ×
2.B.5 × × × × × × × × × × × × ×

2

R
A
T

 3.A.1
3.A.2
3.A.3
3.B.1 ×
3.B.2
3.B.3
3.B.4 ×
3.B.5 × ×
3.B.6
3.B.7 × × × × × × ×















4.A.1 × × × × × × × × × × × × × × × × ×
4.A.2 × ×
4.A.3 ×
4.A.4 × × × ×
4.B.1 × ×
4.B.2
4.B.3
4.B.4
4.B.5 × ×
4.B.6
4.B.7 × × ×



5.A.1 ×
5.A.2 × × × ×
5.A.3 × × × × ×
5.A.4 ×
5.A.5 ×
5.A.6
5.A.7 - - - - -
5.A.8 - × × × × - - × - -
5.A.9 - - - - -
5.A.10 - - - - -
5.A.11 - - - - -
5.B.1 - - - - -
5.B.2 - × × × - - - -
5.B.3 - - - - -
5.B.4 - × - - - -
5.B.5 - - - - -
5.B.6 - - - - -
5.B.7 - - - - -
5.C.1 × × ×
5.C.2 × × × ×
5.C.3
5.C.4 × × × × × ×
5.C.5
5.C.6 × × × × × × × × ×

6.A.1 × × × × × ×
6.A.2 × × × × × ×
6.A.3 × × × ×





C
F
O
 7.A.1 × ×
7.A.2
7.A.3 × × × × × × × × × × × × × × ×
7.A.4 ×
7.A.5 × × ×
7.B.1
7.B.2 ×
7.B.3 ×
7.C.1
7.C.2 × × × × × × × × × × × × × × × × × × ×
7.C.3 × ×
7.C.4

8.A.1
8.A.2 × × × × × × × × × × × × ×
8.A.3 × × × × × × × × × × × ×

9.A.1
9.A.2 × × × × × × ×
9.A.3 × × × ×
9.A.4 × × × × × × × × × × × × × × ×
9.A.5 × × × × × × × × × × × ×
9.B.1 ×
9.B.2 × × × ×
9.B.3
V
N
C



 10.A.1 × × ×
10.A.2 × × × ×
10.A.3 × ×
10.A.4 ×
10.A.5 × × × × × × × ×
10.A.6 × ×
10.B.1 × × ×


AL:AhnLab
Bf:Bitdefender
CP:Check Point
ci:Cisco
CS:CrowdStrike
Cr:Cybereason
CC:CyCraft
BC:BlackBerry Cylance
Cn:Cynet
El:Elastic
ES:ESET
Fi:Fidelis
FE:FireEye
Fo:Fortinet
F-S:F-Secure
GS:GoSecure
Mb:Malwarebytes
MA:McAfee
MF:Micro Focus
Ms:Microsoft
OT:Open Text
PA:Palo Alto
RQ:ReaQta
SO:SentinelOne
So:Sophos
Sy:Symantec
TM:Trend Micro
Up:Uptycs
VCB:VMware Carbon Black