将MITRE ATT&CK框架集成并应用于EventLog Analyzer

最后更新于:

EventLog Analyzer通过整合MITRE ATT&CK框架,助力识别攻击者、分类攻击事件,并精准定位攻击战术与技术,实现网络安全的强力监控。

什么是MITRE ATT&CK框架?

MITRE ATT&CK框架是将各类攻击战术与具体攻击技术映射的矩阵体系,持续更新以充当全球IT安全从业者的攻击百科全书。

这些战术体现了攻击者的目标,例如:

  • 初始访问
  • 执行
  • 持久化
  • 权限提升
  • 防御规避
  • 凭证访问
  • 侦察
  • 横向移动
  • 信息收集
  • 指挥与控制
  • 数据外泄
  • 影响

各类攻击技术(如账户操控、访问令牌篡改、暴力破解等)与战术关联,有助于识别恶意事件与异常行为。该框架被全球采用,促进网络安全从业者更便捷地交流最新攻击模式。

在事件日志分析器中集成MITRE ATT&CK框架所需的预配置

密切监控网络事件对侦测攻击者至关重要。需在网络中启用下列类别的高级审计策略设置,方能通过该框架获得全面洞察:

  • 账户登录
  • 账户管理
  • 目录服务访问
  • 登录/注销事件
  • 对象访问
  • 策略变更
  • 特权使用
  • 详细跟踪
  • 系统事件
  • 应用程序锁定审计
  • Windows Defender攻击面缩减