MITRE ATT&CKフレームワークが2015年に公にリリースされるまでセキュリティチームは、複数のフレームワークを使用して効果的なセキュリティ戦略を開発していました。ISO-17799、それに続くISO-27000、Cobit、NISTなどです。これらのフレームワークは、防御への分析的アプローチで、セキュリティチームがたびたび要望している現実的なテストとプロセスの改善が欠けています。

MITRE ATT&CKは、このギャップを実際の攻撃者とセキュリティチームのプロセスのナレッジベースで埋めています。これは、セキュリティチームが実際の攻撃に対する防御を強化するために活用できる、攻撃者に関する基礎知識を提供します。

問題はMITRE ATT&CKフレームワークのTTP（戦術/技術/手順）をすべて検出しようとしない理由です。それで完全なカバレッジが保証されるのではありませんか？答えはかなり複雑です。

MITRE ATT&CKフレームワークのTTP（戦術/技術/手順）をすべて検出しないのはなぜですか？

ATT&CKのすべてのTTP（戦術/技術/手順）を検出できれば、ATT&CKのすべての攻撃者を防ぐことができるはずとも言えます。技術的には正しいかもしれませんが、多くのTTP（戦術/技術/手順）は、本質的に悪意があるわけではありません。

例えば、アカウントの探索（T1087）は、33種類のアクションのいずれかで、中には「net user /domain」の実行のように無害なアクションも含まれます。「net user /domain」が現れるたびにアラートを発行した場合、セキュリティチームは誤検出であふれます。ATT&CKには、合法的に使用されれば無害なTTP（戦術/技術/手順）が多数存在します。

各TTP（戦術/技術/手順）での警告とセキュリティチームの効率の保持のバランスを取ることが重要です。状況に関わらずATT&CKのすべてのTTP（戦術/技術/手順）でアラートを発することで、アラート疲れに悩まされ、最終的には特定のアラートを無視して、実際の攻撃を見逃すことになるのは必至です。

これに対処するため、誰がプロセスを実行したか、親プロセスはどれか、リモートアクセスが関係するかどうか、さらにTTP（戦術/技術/手順）が攻撃の一部か単なる無害な振る舞いかを識別するために使用できる他の要素など、状況に応じて忠誠度の低いアラートを使用する必要があります。

状況を考慮すると、低忠誠度の例「net user /domainが実行されたときに警告する」が、「net user /domainが非シェルプロセス、またはユーザーがドメイン管理者メンバーでないときは親ツリーがエクスプローラーを含まないシェルに属するドメインユーザーによって実行された場合に警告する」高忠誠度アラートになります。

悪意のあるアクティビティをまとめたTTPチェーンは振る舞いの痕跡（IOB：Indicator of Behavior）と呼ばれ、特定の攻撃者グループによって使用されるTTP（戦術/技術/手順）を完全にドキュメント化した攻撃者エミュレーションプラン（AEP）と対比されます。

ATT&CKのすべてのTTP（戦術/技術/手順）にアラートを発行する代わりに、攻撃のTTP（戦術/技術/手順）を考慮して総合的に開発された攻撃のシミュレーションに対して環境をテストすることが、より効果的なアプローチと言えます。攻撃のシミュレーションは、追加のログが必要な場所や新しいポリシーとテクノロジーを追加する必要のある場所に関して、実用的なフィードバックを提供します。

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT＆CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/