MITRE ATT&CK® 覆盖范围
编辑MITRE ATT&CK® 覆盖范围
编辑“MITRE ATT&CK® 覆盖范围”页面显示已安装并启用的检测规则涵盖了哪些MITRE ATT&CK® 的攻击者战术和技术。这包括 Elastic 预置规则和自定义规则。
与 MITRE ATT&CK® 框架类似,列表示主要战术,每列中的单元格表示战术相关的技术。当某个技术有更多规则与当前筛选器匹配时,单元格会更深色,如顶部的图例所示。
要访问MITRE ATT&CK® 覆盖范围页面,请在导航菜单中找到检测规则 (SIEM),或使用全局搜索字段搜索“检测规则 (SIEM)”,然后转到MITRE ATT&CK® 覆盖范围。
此页面仅包含您当前已安装的检测规则,以及已映射到 MITRE ATT&CK® 的规则。覆盖范围页面将检测映射到 Elastic Security 使用的以下MITRE ATT&CK® 版本:v15.1。未安装的 Elastic 预置规则以及未映射或映射到已弃用战术或技术的自定义规则将不会显示在覆盖范围图中。
您可以在创建或编辑规则时,在高级设置中将自定义规则映射到战术。
筛选规则
编辑使用页面顶部的下拉筛选器来控制哪些已安装的检测规则包含在覆盖范围计算中。
- 已安装规则状态:选择包含已启用规则、已禁用规则或两者。
- 已安装规则类型:选择包含Elastic 规则(预置规则)、自定义规则(用户创建的规则)或两者。
您也可以在搜索栏中搜索战术或技术名称、技术编号或规则名称。搜索栏充当覆盖范围网格的筛选器:仅包含与搜索词匹配的规则。
对战术和技术的搜索必须完全匹配,区分大小写,并且不支持通配符。
展开和折叠单元格
编辑单击折叠单元格或展开单元格以更改单元格显示的信息量。单元格始终包含技术的名称以及已启用规则涵盖的子技术的数量。展开单元格还可以显示每种技术的已禁用和已启用规则的数量。
单元格内的计数会受您如何筛选页面的影响。例如,如果您将已安装规则状态筛选为仅包含已启用规则,则所有已禁用规则的计数都将为 0,因为已禁用规则已筛选掉。
启用规则
编辑您可以快速启用已安装但未启用的特定技术的全部规则。单击技术的单元格,然后在弹出的窗口中单击启用所有已禁用。
详细了解技术和子技术
编辑有关特定技术及其子技术的更多信息,请单击技术的单元格,然后单击弹出的窗口中显示的标题。这会在新的浏览器选项卡中打开该技术的 MITRE ATT&CK® 文档。