MITRE ATT&CK別

[MITRE ATT&CK別]ページはMITRE ATT&CK戦術ごとにグループ化されたイベントのテーブル表示を提供します。各戦術の情報は、存在する多数のテクニックとイベントで構成されています。同時に、各戦術に関連したイベントのリストを表示することもできます。グループ内のイベントは、イベントIDによってソートされています。

データのフィルタリング

テーブルのデータは、対応する検索基準に従ってフィルタリングすることができます。見やすくするため、検索基準は常に表示される基本検索基準と、[さらに多くのフィルタ]をクリックすると表示される高度な検索基準に分かれています。指定した検索基準を適用した後、その検索基準をURLを使用して共有できます。利用可能な検索基準は、次の通りです。

• 日付: イベントを簡易リストに表示する関連期間。期間は直接指定するか、付属のカレンダーから選択できます(カスタム期間)。

• パースペクティブ: 選択したパースペクティブに従って、イベントに優先度を割り当てます。

• 送信元IP: このフィールドで指定したIPアドレスが発生源であるイベントのみが表示されます。IPアドレスを以下のフォーマットで入力できます。

  • 単一IPアドレス: IPバージョン4および6の単一IPアドレス(例: 192.168.2.1、2001:db8::beef)または単一IPアドレスのカンマ区切りのリスト

  • ネットワークアドレスまたはマスク: IPバージョン4および6のネットワークアドレスまたはマスク(例: 192.168.1.0/24、fc00::/7)

  • IPアドレス範囲: IPバージョン4および6のIPアドレス範囲(例: 10.0.1.2-10.0.1.10、fe80::-fe80::ffff)

  • IPv4アドレスのワイルドカード表記: (列挙、範囲、すべて)。1つのIPアドレスでは1つのワイルドカードのみ使用できます。例:

    • 192.168.{1,3,20}.1: IPアドレス192.168.1.1、192.168.3.1、192.168.20.1

    • 10.[1-3].0.0: IPアドレス10.1.0.0、10.2.0.0、10.3.0.0

    • **172.16.*.1: 172.16.[0-255].0と同じ

• ターゲット: このフィールドで指定したIPアドレスにターゲットが関連付けられているイベントのみが表示されます。IPアドレスは、前述した[送信元IP]フィールドと同じ形式で指定できます。

• データフィード: 指定したデータフィードからのフローの監視によって検出されたイベントのみ表示できます。

• メソッド: 指定したイベントのみ簡易リストに表示されます。

• フィルタ: イベントのソースを指定するには、定義済みのフィルタを選択します。

• イベントカテゴリ: 選択したカテゴリに含まれるイベントのみ表示できます。

• MITRE ATT&CKテクニック: 選択されたMITRE ATT&CKのテクニックが割り当てられているイベントのみを表示できます。MITRE ATT&CKの戦術に従ってフィルタリングするには、必要な戦術のテクニックをすべて選択する必要があります。テクニックのリストにはすべてのMITRE ATT&CKテクニックが含まれるわけではなく、Anomaly Detection Systemが検知できるテクニックのみが含まれることに注意してください。

• アプリケーション: ソース/ターゲットIPアドレスが、選択したアプリケーションに関連付けられている場合のみ、イベントが表示されます。