MITRE ATT&CK® 覆盖率
编辑MITRE ATT&CK® 覆盖率
编辑MITRE ATT&CK® 覆盖率页面显示了您已安装并启用的检测规则所覆盖的 MITRE ATT&CK® 对手战术和技术。这包括 Elastic 预构建规则和自定义规则。
与 MITRE ATT&CK® 框架相呼应,列代表主要战术,每列中的单元格代表战术的相关技术。当一个技术匹配当前过滤器的规则越多时,单元格颜色越深,如顶部 图例 中所示。
要访问 MITRE ATT&CK® 覆盖率页面,请在导航菜单中找到 检测规则 (SIEM),或使用 全局搜索字段 搜索“检测规则 (SIEM)”,然后转到 MITRE ATT&CK® 覆盖率。
此页面仅包含您当前已安装的检测规则,并且仅包含映射到 MITRE ATT&CK® 的规则。覆盖率页面将检测映射到 Elastic Security 使用的以下 MITRE ATT&CK® 版本:v15.1。未安装的 Elastic 预构建规则以及未映射或映射到已弃用战术或技术的自定义规则将不会出现在覆盖率图中。
您可以在创建或编辑规则时,在 高级设置 中将自定义规则映射到战术。
过滤规则
编辑使用页面顶部的下拉过滤器来控制在计算覆盖率时包含哪些已安装的检测规则。
- 已安装规则状态:选择包含 已启用规则、已禁用规则或两者。
- 已安装规则类型:选择包含 Elastic 规则(预构建规则)、自定义规则(用户创建的规则)或两者。
您还可以在搜索栏中搜索战术或技术名称、技术编号或规则名称。搜索栏充当覆盖率网格的过滤器:仅包含与搜索词匹配的规则。
对战术和技术的搜索必须完全匹配,区分大小写,并且不支持通配符。
展开和折叠单元格
编辑单击 折叠单元格 或 展开单元格 来更改单元格显示的信息量。单元格始终包含技术名称和已启用规则覆盖的子技术数量。展开单元格还会显示每个技术的已禁用和已启用规则的计数。
单元格内的计数会受到您如何过滤页面的影响。例如,如果您将 已安装规则状态 过滤为仅包含 已启用规则,则所有已禁用规则计数将为 0,因为已禁用规则已被过滤掉。
启用规则
编辑您可以快速启用您已安装但未启用的特定技术的所有规则。单击技术的单元格,然后单击出现的弹出窗口中的 启用所有已禁用。
了解有关技术和子技术的更多信息
编辑有关特定技术及其子技术的更多信息,请单击技术的单元格,然后单击出现的弹出窗口中的标题。这将在新的浏览器标签页中打开该技术的 MITRE ATT&CK® 文档。