Last Updated on 2024-07-10 05:16 by 門倉 朋宏
MITRE ATT&CKの技術に基づいた検出方法の優先順位付けについて、SOCチームは検出シナリオの作成において多くのアイデアを持つが、リソースの制約や利用可能なデータソースの限界により、どの技術を優先して検出すべきかを決定する必要がある。このプロセスには、データソースの定義、関連技術の特定、ソースの品質と技術の関連性の最適な関係の特定、優先順位付けの設定が含まれる。
MITRE ATT&CKのデータソースプロジェクトは、特定の技術を検出するために使用できるデータオブジェクトの説明方法を提供し、データソースとデータコンポーネントの関連性を特定することで、統合データソースのリストを作成し、検出ロジックの開発に役立てる。データソースの品質や技術の頻度を考慮して優先順位付けを行う。
最終的に、利用可能なデータソースとその品質に基づき、SOCが検出できるMITRE ATT&CKの技術のサブセットを特定し、技術の頻度や検出能力を考慮して優先順位付けを行う。この優先順位付けに基づき、検出ロジックの開発のための優先順位付けされたバックログを作成し、優先順位付けの方法を改善するためにデータソースの拡充や品質の向上などのタスクを実行する。
【ニュース解説】
セキュリティオペレーションセンター(SOC)チームは、情報セキュリティインシデントの検出と対応を主な業務としています。このプロセスには、様々な検出シナリオの管理と検出ロジックの開発が含まれます。MITRE ATT&CKフレームワークの進化により、SOCチームは検出シナリオの作成において多くのアイデアを持つようになりましたが、リソースの制約や利用可能なデータソースの限界により、どの技術を優先して検出すべきかを決定する必要があります。
MITRE ATT&CKのデータソースプロジェクトは、特定の技術を検出するために使用できるデータオブジェクトの説明方法を提供します。これにより、SOCチームは統合データソースのリストを作成し、検出ロジックの開発に役立てることができます。データソースの品質や技術の頻度を考慮して優先順位付けを行うことが重要です。
最終的に、利用可能なデータソースとその品質に基づき、SOCが検出できるMITRE ATT&CKの技術のサブセットを特定します。技術の頻度や検出能力を考慮して優先順位付けを行い、検出ロジックの開発のための優先順位付けされたバックログを作成します。このプロセスは、SOCチームが限られたリソースを最適に活用し、効率的に検出シナリオを開発するための基盤を提供します。
このアプローチのポジティブな側面は、SOCチームが検出能力を最大化し、既知の攻撃手法に対する防御を強化できることです。一方で、潜在的なリスクとしては、新たに出現する攻撃手法やまだMITRE ATT&CKフレームワークに含まれていない技術に対する検出が遅れる可能性があります。また、データソースの品質や統合の問題が検出能力に影響を与える可能性もあります。
将来的には、SOCチームはこの優先順位付けプロセスを継続的に見直し、更新する必要があります。脅威の環境は常に変化しているため、新たな攻撃手法や技術の出現に迅速に対応し、検出シナリオを適宜調整することが重要です。また、データソースの拡充や品質の向上などのタスクを実行することで、検出能力をさらに強化することができます。
from Developing and prioritizing a detection engineering backlog based on MITRE ATT&CK.
