MITRE-ATT&CK 히트맵 및 탐색기

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 12분

    • 히트맵과 네비게이터를 MITRE-ATT&CK 사용하여 기본 탐색을 수행하고 전체 기술 탐지 범위를 시각화할 수 있습니다.

    히트맵 및 탐색기 개요 MITRE-ATT&CK

    기본 필터와 함께 탐색기를 사용하여 ATT&CK 매트릭스의 기본 탐색 및 관찰을 수행할 수 있습니다. 히트맵은 조직에 적용 범위가 없는 사각지대를 포함하여 탐지 적용 범위의 스펙트럼을 강조 표시합니다. 이는 기술 탐지 범위를 매핑한 후에 사용할 수 있습니다.

    히트맵과 네비게이터를 사용하여 다음을 수행할 수 있습니다.
    • 조직의 탐지 역량을 빠르고 효율적으로 식별하고 기술 탐지 범위의 격차를 강조 표시합니다.
    • 관련 기능을 사용하여 위협을 헌팅하고 위협의 상관 관계를 수행합니다.

    히트맵 및 탐색기에 액세스 MITRE-ATT&CK

    히트맵과 내비게이터에 MITRE-ATT&CK 액세스하여 ATT&CK를 사용할 수 있는 매트릭스를 시각화할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_ti.read, sn_ti.mitre_analyst

    이 태스크 정보

    히트맵을 검토하고 필터를 사용하여 상관관계를 지정하고 조직의 정보, 옵저버블 및 보안 인시던트의 MITRE-ATT&CK 링크 분석을 수행할 수 있습니다.

    프로시저

    1. 다음으로 이동 모두 > 위협 인텔리전스 > MITRE ATT&CK 리포지토리 > 히트맵 및 네비게이터.
      히트맵과 네비게이터가 새 탭에서 열립니다.
    2. 히트맵을 채울 소스를 선택합니다.
      주:
      활성화된 컬렉션매트릭스 만 소스 목록에 나타납니다.

      다음 그림에서는 히트맵과 네비게이터로 이동하는 방법과 소스를 선택하는 방법을 볼 수 있습니다. 이 예에서는 엔터프라이즈 ATT&CK입니다.

    3. 검색 상자에서 해당 이름이나 ID를 사용하여 특정 전술이나 기술을 빠르게 찾습니다.

      다음 그림에서는 전술, 기술 또는 그 안에 포함된 정보를 검색하는 방법을 보여줍니다.

    4. 필터를 클릭하고 기본 또는 고급 필터에서 필터를 선택합니다.
    5. 적용을 클릭하고 다음과 같이 필터를 제어합니다.
      • 필터를 저장하려면 사용자 지정 뷰를 생성합니다. 세 개의 사용자 지정 뷰를 생성하고 저장할 수 있습니다.
      • 선택한 필터를 제거하려면 기본 필터 재개를 클릭하여 저장된 기본 뷰를 로드합니다.
      • 모든 필터와 기존 뷰를 지우려면 모든 필터 지우기를 클릭합니다.
      주:
      저장하는 뷰는 특정 사용자에게 해당됩니다.
    6. 하위 기술 숨기기를 클릭하여 히트맵 뷰에서 모든 하위 기술을 제거합니다.
      기술에 하위 기술이 있는 경우 확장 아이콘을 클릭하여 하위 기술을 볼 수 있습니다.

    사용자 지정 뷰 사용

    히트맵과 네비게이터의 MITRE-ATT&CK 사용자 지정 뷰를 사용하면 다음에 히트맵에 액세스할 때 즐겨찾기 필터를 저장하고 볼 수 있습니다.

    주:
    사용자마다 모든 MITRE-ATT&CK 컬렉션에 대해 세 개의 사용자 지정 뷰를 만들고 저장할 수 있습니다.

    뷰 생성

    기본 또는 고급 필터에서 필요한 필터를 선택한 후 필터 헤더에서 줄임표(...) 버튼을 클릭하고 새 뷰 생성을 선택합니다. 사용자 지정 뷰 이름을 입력하고 뷰를 저장합니다.

    기본 뷰

    다음에 히트맵에 도착할 때 뷰를 직접 로드하려면 기본 뷰로 저장을 클릭합니다. 각 컬렉션에 대해 기본 뷰를 설정할 수 있습니다.

    주:
    이전 버전에서 플러그인을 업그레이드하는 위협 인텔리전스 경우 이전 버전의 기존 기본 뷰가 사용자 지정 뷰로 나타납니다.

    뷰 업데이트

    필요한 기본 또는 고급 필터를 수정하여 기존 사용자 지정 뷰를 업데이트할 수 있습니다. 사용자 지정 뷰를 선택하고 필요에 따라 필터를 업데이트한 다음 필터 헤더에서 줄임표(...) 버튼을 클릭하고 뷰 업데이트를 선택하여 필터를 저장합니다.

    사용자 지정 뷰 관리

    각 사용자 지정 뷰 옆에 있는 확인란을 사용하여 선택한 사용자 지정 뷰 필터를 적용합니다.

    각 사용자 지정 뷰 이름 옆에 있는 줄임표(...) 버튼을 클릭하여 다음과 같이 사용자 지정 뷰를 제어합니다.
    • 기본 뷰를 설정합니다.
    • 기본 뷰에서 사용자 지정 뷰를 제거합니다. 이렇게 해도 사용자 지정 뷰는 삭제되지 않습니다.
    • 사용자 지정 뷰의 이름을 바꿉니다.
    • 사용자 지정 뷰를 삭제합니다.

    저장된 뷰 익스포트

    저장된 사용자 지정 뷰를 JSON 파일로 내보내려면 필터 헤더에서 줄임표(...)를 클릭하고 저장된 뷰 익스포트를 선택합니다. 로컬 컴퓨터에 다운로드하려는 사용자 지정 뷰의 다운로드 아이콘을 클릭합니다.

    뷰 임포트

    JSON 파일만 임포트할 수 있습니다. 사용자 지정 뷰를 가져오려면 필터 헤더에서 줄임표(...) 단추를 클릭하고 뷰 임포트(json)를 선택합니다.

    뷰를 임포트할 때 다음 조건을 검토합니다.
    • JSON 파일 형식만 임포트할 수 있습니다.
    • 한 번에 하나의 뷰 또는 파일만 임포트할 수 있습니다.
    • 필터에 이미 세 개의 사용자 지정 뷰가 있는 경우에는 임포트할 수 없습니다. 사용자 지정 뷰를 삭제하고 뷰를 임포트합니다.
    • 기존 사용자 지정 뷰 이름이 있는 뷰는 가져올 수 없습니다. 임포트하기 전에 뷰 이름을 바꿉니다.

    기본 필터가 있는 네비게이터

    기본 필터를 사용하여 탐색기에서 기술을 필터링합니다.MITRE-ATT&CK 리포지토리의 MITRE-ATT&CK 정보를 선택할 수 있습니다.

    필터 설명
    공격자 그룹(위협 그룹) 보안 커뮤니티에서 일반 이름으로 추적되는 관련 침입 활동 집합입니다. 그룹은 다양한 위협 그룹, 활동 그룹, 위협 액터, 침입 세트 및 캠페인을 의미할 수 있습니다. 공격자 그룹(위협 그룹) 필터에 여러 그룹을 추가할 수 있습니다.

    예를 들어 APT1과 AT12는 둘 다 중국에 기인한 위협 그룹이므로 추가합니다. 두 그룹 모두 서로 다른 소스를 대상으로 할 수 있지만 유사한 기술을 사용할 수 있습니다.
    도구 위협 행위자가 공격을 수행하는 데 사용하는 합법적인 소프트웨어입니다. 위협 행위자가 어떤 도구를 어떻게 사용하는지 알고 있다면 위협 행위자가 캠페인을 실행하는 방법을 이해할 수 있습니다. 도구에는 엔터프라이즈 시스템에서 찾을 수 없는 소프트웨어와 Microsoft Windows 유틸리티와 같은 환경에 이미 있는 운영 체제의 일부로 사용할 수 있는 소프트웨어가 모두 포함됩니다.

    예를 들어 gsecdump는 APTI1 악의적 그룹이 Microsoft Windows 운영 체제에서 암호 해시 및 LSA 비밀(로컬 보안 기관)을 가져오는 데 사용하는 공개적으로 사용 가능한 자격 증명 덤퍼입니다.
    맬웨어 공격자가 악의적인 목적으로 사용하도록 의도된 상업용, 사용자 지정 비공개 소스 또는 오픈 소스 소프트웨어입니다.

    예를 들면 PlugX, CHOPSTICK 등이 있습니다
    플랫폼 특정 플랫폼을 나타내는 MITRE-ATT&CK 전술 및 기술입니다.

    예를 들어 엔터프라이즈 MITRE-ATT&CK ATT&CK 매트릭스에서 Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, 네트워크 플랫폼을 지원합니다.
    데이터 소스 환경에서 수집하고 기술을 탐지 MITRE-ATT&CK 하는 데 사용하는 데이터 소스입니다.

    예를 들어 DLL 모니터링 및 브라우저 확장이 있습니다.
    다음 그림은 탐색기에서 사용할 수 있는 모든 기본 필터를 MITRE-ATT&CK 보여줍니다.

    기본 필터입니다.

    기본 및 고급 기능과 함께 히트맵 사용

    고급 필터가 있는 히트맵을 사용하면 보안 인시던트와 정보의 MITRE-ATT&CK 상관관계를 지정하여 분석을 수행할 수 있습니다.

    기술 ID 보기

    기술 ID 표시 필터를 선택할 때 기술 이름과 함께 기술 ID를 볼 MITRE-ATT&CK 수 있습니다.

    우선순위별로 관련 기술 보기

    탐색기에서 관련 우선순위에 따라 기술을 필터링하려면 기술 관련 우선순위 필터별 필터링을 선택하고 메뉴에서 관련 우선순위 를 선택합니다. 필터링에 여러 우선순위를 할당할 수 있습니다. 히트맵에서 기술을 가리키면 기술의 우선순위를 알 수도 있습니다.

    관련 우선순위 정보는 기술 관련 우선순위 필드에서 설정한 우선순위를 기반으로 합니다.

    기술 탐지 범위 보기

    히트맵에서 전체 기술 탐지 범위를 보려면 기술 탐지 범위 필터 표시 를 선택합니다. 히트맵은 범위가 없는 사각지대를 포함하여 탐지 범위의 시각적 스펙트럼을 강조 표시합니다. 기본 시스템 점수 정의와 색상은 기술 탐지 범위에서 정의되었습니다. 정보가 전체 기술 탐지 범위에서 자동 추출되었습니다.

    예를 들어 히트맵에서 빨간색으로 표시된 영역은 탐지가 부족함을 나타냅니다. 파란색으로 표시된 영역은 전체 탐지 역량이 있음을 나타냅니다. 주황색, 노란색 및 연한 파란색으로 표시된 영역은 부분 탐지 기능을 반영합니다.

    • 색상 시각화는 사용자가 정의하는 기술 정의와 색상 코딩 을 기반으로 합니다.
    • 범위 시각화는 사용자가 정의하는 기술 탐지 범위 매핑 을 기반으로 합니다.
    • 기본 시스템 범위 정의를 수정하면 범위 유형 아이콘이 히트맵의 기술과 함께 표시되지 않습니다.
      주:
      히트맵은 기본 시스템에서 정의한 기술 탐지 범위 및 범위 색상과 동일한 필드를 수정할 때 예상대로 작동합니다.

    이 그림에서는 모든 기술 및 하위 기술에 대한 기술 탐지 범위와 해당 색상과 아이콘이 있는 범위 유형을 볼 수 있습니다.

    기술 완화 범위 보기

    히트맵에서 전체 기술 완화 범위를 보려면 기술 완화 범위 필터 표시를 선택합니다. 히트맵은 적용되지 않은 영역을 포함하여 완화 적용 범위의 시각적 스펙트럼을 강조 표시합니다. 완화 범위, 색상 및 백분율 범위는 완화 범위 정의에 정의되어 있습니다. 이 정보는 전체 기술 완화 범위에서 추출됩니다.

    예를 들어 빨간색으로 강조 표시된 기술은 완화 범위가 없음을 나타내고, 주황색은 완화 범위가 좋지 않음을 나타내며, 파란색은 우수한 완화 범위를 나타냅니다.
    • 색상 시각화는 사용자가 정의한 기술 완화 정의 및 색상 코딩 을 기반으로 합니다.
    • 범위 시각화는 사용자가 정의한 기술 완화 범위 매핑 을 기반으로 합니다.
    • 기본 시스템 완화 범위 정의를 수정하면 완화 범위 유형 아이콘이 히트맵의 기술과 함께 표시되지 않습니다.
      주:
      히트맵은 기본 시스템에서 정의한 기술 완화 범위 및 범위 색상과 동일한 필드를 수정할 때 예상대로 작동합니다.

    탐지 및 완화 범위 보기

    기술 탐지 및 기술 완화 범위 필터를 함께 사용하면 조직의 기술 탐지 및 완화 범위의 관련성에 대한 인사이트를 얻을 수 있습니다.

    이 그림에서는 검색 및 완화 필터를 함께 사용하는 방법을 보여 줍니다.

    위협 그룹 보기

    히트맵에서 기술 정보에 대한 위협 그룹을 보려면 위협 그룹 히트맵 표시를 선택합니다. 특정 기술을 사용하는 위협 그룹의 수를 측정할 수 있습니다. 공격자 수가 많을 때 특정 기술을 사용한 공격 확률이 증가합니다. 위협 그룹 범위와 히트맵 색상은 위협 그룹 기술 히트맵 정의에 정의되어 있습니다.

    기술과 관련된 보안 인시던트 보기

    조직에서 자주 악용되고 보안 인시던트를 발생시킨 기술을 보려면 기술과 관련된 보안 인시던트 표시를 클릭합니다. 분석을 위해 새 창에서 열리는 링크를 클릭하면 연관된 각 보안 인시던트에 대한 자세한 정보를 볼 수 있습니다.

    • 우선순위: 보안 인시던트 우선순위를 기준으로 필터링하려면 보안 인시던트 우선순위 를 선택합니다.
    • 날짜 범위: 보안 인시던트 날짜 범위를 선택하여 날짜 범위를 기준으로 보안 문제를 필터링합니다.
    • 가양성: 가양성 보안 인시던트 필터링을 선택하여 가양성 문제를 제거합니다. 이 필터를 선택하면 히트맵에 표시되는 보안 인시던트 수가 줄어듭니다.

    이 필터를 기술 탐지 범위 표시 필터와 함께 사용하면 선택한 날짜까지 조직에 대한 기술 탐지 범위의 관련성에 대한 인사이트를 얻을 수 있습니다.

    예를 들어, 두 필터를 모두 켜면 방어 회피 전술에서 가장 기술이 적용 범위가 없음을 알 수 있습니다. 더 자세히 살펴보면 가장 기술은 가장 작업 또는 서비스와 관련이 있으며, 이와 관련된 보안 인시던트도 있습니다. 이는 가장 기술에 대한 기술 탐지 범위에 격차가 있음을 보여주며 전체 기술 탐지 범위를 수정할 수 있습니다.

    탐지 규칙 보기

    특정 기술에 대해 정의된 탐지 규칙이 있는지 확인하려면 탐지 규칙 표시를 클릭합니다. 연결된 각 탐지 규칙을 해당 정의와 함께 볼 수도 있습니다.

    이 정보는 사용자가 정의한 탐지 규칙 매핑 을 기반으로 합니다.

    기술과 관련된 CVE 보기

    각 기술과 관련된 CVE(Common Vulnerabilities and Exposures) 정보를 보려면 기술과 관련된 CVE 표시를 클릭합니다. 기술에 대한 CVE 정보는 CVE - 기술 매핑 모듈에서 사용할 수 있는 정보를 기반으로 합니다. 이를 통해 알려진 취약성에 대한 인사이트를 확보하고 악의적 사용자가 조직을 잠재적으로 악용할 수 있는지 알 수 있습니다.

    중요사항:
    히트맵은 VIT와 연결된 관련 CVE만 표시하도록 향상되었습니다.

    CVE 및 기술과 관련된 VIT를 보려면 CVE 및 기술과 관련된 VIT 표시를 선택합니다. 또한 VIT가 없는 기술을 추가로 필터링하려면 VIT 없이 기술 숨기기를 선택합니다. 사용자가 보는 CVE 및 VIT 정보는 사용자 환경의 제품에서 취약성 대응 가져옵니다. 히트맵에서 필터링된 CVE 및 VIT 목록을 보고 히트맵의 모든 기술에 대한 각 CVE 또는 VIT로 이동할 수 있습니다.

    주:
    • 기술과 관련된 CVE 표시는 제품이 사용자 환경에 설치된 경우에만 취약성 대응 사용할 수 있습니다.
    • VIT 및 CVE 정보는 다음에서 설정한 예약된 작업을 기반으로 계산됩니다. MITRE-ATT&CK 속성. 기본 시스템 일정 작업은 24시간으로 설정되어 있습니다.

    이 필터를 기술과 관련된 보안 인시던트 표시 필터와 함께 사용하면 알려진 취약성이 조직에서 보안 인시던트를 유발했는지 파악할 수 있습니다.

    각 CVE에 대한 자세한 정보를 살펴보고 CVE가 조직과 관련이 있는지 분석할 수 있습니다. 이렇게 하려면 취약성 항목을 봅니다. 취약성 항목이 생성되면 모듈에서 취약성 대응 연관된 CI 정보에 대한 자세한 정보를 볼 수 있습니다. 심각도와 우선순위를 검토하여 정보에 입각한 결정을 내릴 수도 있습니다.

    보안 인시던트 분석

    보안 인시던트를 분석하고 공격자가 공격에 사용하는 기술을 검토하려면 보안 인시던트 분석을 클릭합니다. 쉼표로 구분된 문자열을 사용하여 분석에 필요한 여러 보안 인시던트를 추가할 수 있습니다.

    이 필터는 보안 인시던트를 분석하는 데 도움이 됩니다. 인시던트가 발생한 이유, 어떤 기술이 악용되었는지, 알려진 위협 행위자가 연루되었는지 여부, 위협 행위자가 공격에 특정 시퀀스를 사용했는지 등을 파악할 수 있습니다. 여러 보안 인시던트를 동시에 분석할 수 있으므로 정보의 상관관계를 지정하여 서로 관련이 있는지 아니면 격리된 인시던트인지 확인할 수 있습니다. 보안 인시던트가 관련이 있고 패턴을 관찰하는 경우 킬 체인에서 진행 상황을 검토하여 공격을 중지하거나 조직의 방어 전략을 구성할 수 있습니다.

    보안 인시던트 분석 필터를 공격자 그룹과 같은 기본 필터와 함께 사용하면 알려진 공격자가 관련된 경우 상관관계를 지정할 수 있습니다. 예를 들어 여러 보안 인시던트를 분석할 때 보안 인시던트와 연결된 기술은 킬 체인의 형태로 존재합니다. 정보를 악의적 공격자와 겹치면 보안 인시던트와 관련된 기술과 악의적 공격과 관련된 기술 간에 중복되는 부분을 확인할 수 있습니다. 두 필터를 모두 사용하는 경우 중복된 기술 정보만 표시됩니다.

    오버레이를 사용하여 보안 인시던트 및 악의적 그룹 분석

    오버레이/분석 활성화 필터를 사용하여 악의적 동작을 보고 하나 이상의 보안 인시던트를 분석하고 정보의 상관관계를 지정하여 공격이 격리된 인시던트인지 아니면 알려진 공격에 의한 공동 공격인지 확인합니다.

    예를 들어 이제 보안 인시던트와 위협 공격자 킬 체인 동작을 동일한 뷰에서 볼 수 있습니다. 이 뷰는 공격 및 알려진 악의적 동작을 알려주는 중복 정보를 제공합니다. 이를 통해 이것이 고립된 공격인지 아니면 알려진 공격에 의한 조직적인 공격인지 분석할 수 있습니다.

    오버레이 분석 필터를 활성화하면 반대 그룹 필터를 제외한 모든 기본 필터가 무시되고 고급 필터 뷰를 생성하는 동안 기술 관련 우선순위별로 필터링도 무시됩니다.

    오버레이 분석 필터를 활성화한 후에는 색상표를 사용하여 다음에 대한 색상을 할당합니다.
    • 보안 인시던트 분석
    • 반대 그룹
    • 오버레이

    다음 그림은 공격적 그룹 APT18이 킬 체인의 여러 기술과 전술에 분산되어 있음을 보여줍니다. 또한 분석 결과 추적 중인 악의적 그룹 및 보안 인시던트를 오버레이하는 세 가지 기술이 있음을 알 수 있습니다.