MITRE ATT&CK® 覆盖范围
编辑MITRE ATT&CK® 覆盖范围编辑
MITRE ATT&CK® 覆盖范围 页面(规则 → MITRE ATT&CK® 覆盖范围)显示已安装和启用的检测规则涵盖了哪些 MITRE ATT&CK® 对手战术和技术。这包括 Elastic 预构建规则和自定义规则。
与 MITRE ATT&CK® 框架类似,列代表主要战术,每列中的单元格代表战术的相关技术。当某个技术有更多规则与当前过滤器匹配时,单元格颜色会更深,如顶部的 图例 所示。
此页面仅包含您当前已安装的检测规则,以及已映射到 MITRE ATT&CK® 的规则。覆盖范围页面将检测映射到 Elastic Security 使用的以下 MITRE ATT&CK® 版本:v14.1。未安装的 Elastic 预构建规则以及未映射或映射到已弃用战术或技术的自定义规则不会出现在覆盖范围图中。
您可以在创建或编辑规则时,在 高级设置 中将自定义规则映射到战术。
筛选规则编辑
使用页面顶部的下拉过滤器来控制哪些已安装的检测规则包含在覆盖范围计算中。
- 已安装规则状态:选择包含 已启用规则、已禁用规则 或两者。
- 已安装规则类型:选择包含 Elastic 规则(预构建规则)、自定义规则(用户创建的规则)或两者。
您还可以在搜索栏中搜索战术或技术名称、技术编号或规则名称。搜索栏充当覆盖范围网格的过滤器:仅包含与搜索词匹配的规则。
战术和技术的搜索必须完全匹配,区分大小写,并且*不支持*通配符。
展开和折叠单元格编辑
点击 折叠单元格 或 展开单元格 可以更改单元格显示的信息量。单元格始终包含技术的名称以及已启用规则涵盖的子技术数量。展开单元格还可以显示每个技术的已禁用和已启用规则计数。
单元格内的计数受您如何筛选页面的影响。例如,如果您将 已安装规则状态 筛选为仅包含 已启用规则,则所有已禁用规则计数都将为 0,因为已禁用规则已被筛选掉。
启用规则编辑
您可以快速启用您已安装但未启用的特定技术的所有规则。点击该技术的单元格,然后点击弹出窗口中的 启用所有已禁用的规则。
了解更多有关技术和子技术的信息编辑
有关特定技术及其子技术的更多信息,请点击该技术的单元格,然后点击弹出窗口中的标题。这将在新的浏览器选项卡中打开该技术的 MITRE ATT&CK® 文档。