攻撃ステージにはどのような情報が含まれるのでしょうか?
各攻撃ステージでは、読みやすい一般的な言葉で分かりやすい解説が提供されています。この解説は、以下に示すように、いくつかの要素で構成されています。以下の表で説明します。
| 攻撃ステージの要素 | 説明 |
|---|---|
| ヘッダー |
攻撃者が実行しようとした攻撃、その目的(上記の例では、資格情報アクセス)、および既知のMITRE ATT&CK技術へのリンクが記載されます。詳細については、MITRE ATT&CK Webサイトのリンクをクリックしてください。 攻撃ステージが既知のMITRE ATT&CK技術でない場合、ヘッダーテキストはリンクされません。これは、ランダムフォルダで検出されたファイルなどの汎用的な技術に関連します。
|
| タイムスタンプ | 攻撃ステージが発生した時間です。 |
| 技術 |
攻撃者が技術的にどのような目的を達成したか、どのようなオブジェクト(レジストリエントリ、ファイル、スケジュールされたタスク)が影響を受けたかを示します。 攻撃手法の説明文には、上記の例に示すように、サイバーキルチェーンにおける影響を受ける各ノードへの色分けされたリンクが含まれています。これらの色分けされたリンクにより、影響を受けたノードにすばやく移動し、発生した事象に関する詳細な調査を実行できます。攻撃ステージで使用される色分けは以下の通りです。
上記の凡例を見ると、例として取り上げた資格情報アクセスの攻撃ステージには、マルウェアノード なお攻撃ステージには、漏洩したファイルに関する情報(保護された健康情報(PHI)、クレジットカード番号、社会保障番号などの機密情報)を含むファイルノードへのリンクも含まれています。 |
と不審なファイルノード
へのリンクがあることがわかります(リンクをクリックするとサイバーキルチェーンの該当ノードにジャンプします)。これらのノードのナビゲーションと実行可能な操作の詳細については、