Powered by Zoomin Software. For more details please contactZoomin

Flowmon ADS

Table of Contents

MITRE ATT&CKフレームワーク

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: April 5, 2026
  • 5 minute read
    • Flowmon Products
    • Flowmon Anomaly Detection System
    • Documentation

MITRE ATT&CKフレームワークに関する一般情報

MITRE ATT&CKとは、攻撃者がターゲットのネットワーク環境を侵害するために利用するテクニックの、グローバルアクセス可能なナレッジベースです。このナレッジベースはすべて現実世界の観察に基づいています。このフレームワークには、ネットワークへのアクセスを獲得する初期段階から、被害者の環境に損害を与え得る最終的な悪意ある攻撃行動まで、考えられる攻撃者の行動がまとめられています。

MITRE ATT&CKフレームワークでは戦術テクニックという2つの主な用語が使われており、この後の節ではこれらの用語を使用します。戦術は、おおまかな攻撃段階の1つを表しており、攻撃者によるターゲット環境の侵害がどのくらい進行しているかを表しています(例: 初期アクセスは攻撃者がネットワークに侵入する段階を表し、永続化は侵害した環境で永続性を獲得する段階を表しています)。個々の戦術は、攻撃者がネットワークで実行する一般的な行動の順に並んでいます。それぞれの戦術の下には、複数のテクニックがリストされています。これらのテクニックには、後続の攻撃段階に進むために攻撃者がとる行動が具体的に記述されています。テクニックはさらに1つ以上のサブテクニックに分かれていることもあります。

この後の説明では、MITRE ATT&CKのテクニックと戦術に個別の用語を使用せず、まとめてMITRE ATT&CKカテゴリという用語を使用します。

MITRE ATT&CKフレームワークの詳細については、公式ページを参照してください。

Anomaly Detection SystemでのMITRE ATT&CKフレームワーク

Flowmon Anomaly Detection Systemでは、検知されたイベントにMITRE ATT&CKカテゴリを割り当てることで、特定のイベントが実際に何を示唆するかに関するユーザの理解を促進し、MITRE ATT&CKフレームワークのコンテキストでのイベントの詳細情報を提供しています。イベントに割り当てられたMITRE ATT&CKテクニックおよび戦術は、そのイベントのイベント詳細(詳細は、「イベント詳細」の章を参照)または簡易リスト(MITRE ATT&CKテクニックおよび戦術の列はデフォルトで非表示です。手動でユーザインターフェースに追加する必要があります。簡易リストの詳細については、「簡易リスト」の章を参照)に表示されます。

イベントへのMITRE ATT&CKカテゴリの割り当て

Anomaly Detection Systemでイベントが検知されると、イベントのコンテキスト分析が実行され、新たに検知されたイベントに最も合致するMITRE ATT&CKカテゴリが決定されます。分析の実行では、イベントのさまざまな側面や性質が考慮されます。このため、同じメソッドで検知されたイベント(例: HIGHTRANSFメソッドで検知された2つのイベント)に別々のMITRE ATT&CKカテゴリが割り当てられることがあります。この理由は、コンテキスト分析ツールでこれらのイベントの性質が異なると評価されたためです。また、イベントの更新に伴ってMITRE ATT&CKカテゴリが変わることもあります(イベント更新の詳細については、「ストリーム処理」の章を参照)。

さらに、1つのイベントに複数のMITRE ATT&CK戦術が割り当てられることがあることにも言及しておく必要があります(簡単に言えば、1つのイベントが攻撃者の行動の複数の段階を同時に表している可能性があります)。この原因としては、1つのイベントに複数のターゲットが存在し、攻撃者が複数の攻撃段階を移動中であることを示していることが考えられます。また、攻撃者が次の攻撃段階に進んだときやその事実がイベントに反映されたときにも、イベント更新に伴って別の戦術が追加されることがあります。

次のような場合には、一部のイベントにMITRE ATT&CKカテゴリが割り当てられないことがあります。

  • 検知されたイベントの異常があまりに包括的すぎて、特定のMITRE ATT&CKカテゴリを割り当てると誤解を招く恐れがある場合。

  • 検知されたイベントはセキュリティインシデントであると考えられるが(例: セキュリティポリシー違反)、そのイベントに対応するテクニックがMITRE ATT&CKに存在しない場合。

  • 検知されたイベントがセキュリティインシデントではなく設定ミスの結果であると評価された場合。

  • コンテキスト分析で、イベントがセキュリティインシデントではないと判断された場合。

コンテキスト分析では、割り当て済みのフィルタを使用してMITRE ATT&CKカテゴリが割り当てられます(割り当て済みのフィルタの詳細については、「データフィードと割り当て済みのフィルタ」の章を参照)。最良のユーザ経験を創出するため、できるだけすべての検知メソッドに割り当て済みフィルタを設定するようお勧めします。割り当て済みフィルタの影響は、検知メソッドによって異なることがあります。したがって、それぞれのメソッドについて説明しているユーザガイドの章に記載された指示に従って、割り当て済みフィルタを設定してください。

TitleResults for “How to create a CRG?”Also Available inAlert