MITRE-ATT&CK Carte thermique et navigateur

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 15 minutes de lecture

    • Vous pouvez utiliser la carte thermique et le navigateur pour la MITRE-ATT&CK navigation de base et pour visualiser la couverture globale de votre technique de détection.

    Vue d’ensemble de la carte thermique et du MITRE-ATT&CK navigateur

    Vous pouvez utiliser le navigateur avec les filtres primaires pour la navigation de base et l’observation des matrices ATT&CK. La carte thermique met en évidence le spectre de la couverture de détection, y compris les angles morts pour lesquels votre organisation n’a aucune couverture. Il est disponible une fois que vous avez mappé la couverture de détection de la technique.

    Avec la carte thermique et le navigateur, vous pouvez :
    • Identifiez rapidement et efficacement les options de détection de votre organisation et mettez en évidence les lacunes dans la couverture de la détection technique.
    • Recherchez les menaces et effectuez une corrélation des menaces à l’aide des fonctionnalités associées.

    Accéder à la carte thermique et au MITRE-ATT&CK navigateur

    Accédez à la carte thermique et au MITRE-ATT&CK navigateur afin de visualiser la matrice qui vous permet d’utiliser ATT&CK.

    Avant de commencer

    Rôle requis : sn_ti.read, sn_ti.mitre_analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez examiner la carte thermique, utiliser les filtres pour corréler et effectuer une analyse de lien des informations, des observables et des incidents de MITRE-ATT&CK sécurité dans votre organisation.

    Procédure

    1. Accédez à la Tous > Renseignements sur les menaces > Référentiel MITRE ATT&CK > Carte thermique et navigateur.
      La carte thermique et le navigateur s’ouvrent dans un nouvel onglet.
    2. Sélectionnez la source pour remplir la carte thermique.
      Remarque :
      Seules les collections et matrices qui ont été activées s’affichent dans la liste des sources.

      Dans l’illustration suivante, vous verrez comment accéder à la carte thermique et au navigateur, et comment sélectionner la source, qui est Enterprise ATT&CK dans cet exemple.

    3. Utilisez le champ de recherche pour trouver rapidement une tactique ou une technique particulière à l’aide de son nom ou de son ID.

      L’illustration suivante montre comment rechercher une tactique, une technique ou toute information qu’ils contiennent.

    4. Cliquez sur Filtres et sélectionnez un filtre dans les filtres Primaire ou Avancé .
    5. Cliquez sur Appliquer et contrôlez les filtres comme suit :
      • Pour enregistrer vos filtres, créez une vue personnalisée. Vous pouvez créer et enregistrer trois vues personnalisées.
      • Pour supprimer les filtres sélectionnés, cliquez sur Restaurer les filtres par défaut pour charger votre vue enregistrée par défaut.
      • Pour effacer tous les filtres et votre vue existante, cliquez sur Effacer tous les filtres.
      Remarque :
      Les vues que vous enregistrez sont spécifiques à un utilisateur.
    6. Cliquez sur Masquer les sous-techniques pour supprimer toutes les sous-techniques de la vue de la carte thermique.
      Si une technique comporte des sous-techniques, vous pouvez cliquer sur l’icône de développement pour afficher les sous-techniques.

    Utilisation des vues personnalisées

    Les vues personnalisées de la carte thermique et du MITRE-ATT&CK navigateur vous aident à enregistrer et à afficher vos filtres préférés la prochaine fois que vous atterrissez sur la carte thermique.

    Remarque :
    Vous pouvez créer et enregistrer trois vues personnalisées pour chaque MITRE-ATT&CK collection par utilisateur.

    Créer une vue

    Une fois que vous avez sélectionné les filtres requis dans les filtres Primaire ou Avancé , cliquez sur le bouton représentant des points de suspension (...) dans l’en-tête Filtres et sélectionnez Créer une nouvelle vue. Entrez le nom de la vue personnalisée et enregistrez la vue.

    Vues par défaut

    Cliquez sur Enregistrer ceci en tant que vue par défaut pour charger directement la vue la prochaine fois que vous arriverez sur la carte thermique. Vous pouvez définir une vue par défaut pour chacune des collections.

    Remarque :
    Si vous mettez à niveau le module d’extension à partir d’une Renseignements sur les menaces version antérieure, votre vue par défaut existante à partir de l’ancienne version s’affiche sous la forme d’une vue personnalisée.

    Mettre à jour une vue

    Vous pouvez apporter des mises à jour à une vue personnalisée existante en modifiant les filtres Primaire ou Avancé requis. Sélectionnez une vue personnalisée, mettez à jour les filtres selon vos besoins, puis cliquez sur le bouton avec des points de suspension (...) dans l’en-tête Filtres et sélectionnez Mettre à jour la vue pour enregistrer les filtres.

    Gérer les vues personnalisées

    Utilisez les cases à cocher en regard de chaque vue personnalisée pour appliquer le filtre de vue personnalisé sélectionné.

    Cliquez sur le bouton représentant des points de suspension (...) en regard de chaque nom de vue personnalisée pour contrôler les vues personnalisées comme suit :
    • Définissez une vue par défaut.
    • Supprimez une vue personnalisée comme vue par défaut. Cela ne supprime pas la vue personnalisée.
    • Renommez la vue personnalisée.
    • Supprimez la vue personnalisée.

    Exporter une vue enregistrée

    Pour exporter les vues personnalisées enregistrées vers des fichiers JSON, cliquez sur des points de suspension (...) dans l’en-tête Filtres et sélectionnez Exporter les vues enregistrées. Cliquez sur l’icône de téléchargement de la vue personnalisée que vous souhaitez télécharger sur votre ordinateur local.

    Importer une vue

    Vous ne pouvez importer que des fichiers JSON. Pour importer les vues personnalisées, cliquez sur le bouton avec des points de suspension (...) dans l’en-tête Filtres et sélectionnez Vue Importer (json).

    Examinez les conditions suivantes lors de l’importation de vues :
    • Vous pouvez importer uniquement le format de fichier JSON.
    • Vous ne pouvez importer qu’une seule vue ou un seul fichier à la fois.
    • Vous ne pouvez pas importer si vous avez déjà trois vues personnalisées dans vos filtres. Supprimez une vue personnalisée et importez une vue.
    • Vous ne pouvez pas importer une vue avec un nom de vue personnalisée existant. Renommez une vue avant de procéder à l’importation.

    Navigateur avec filtres primaires

    Utilisez les filtres primaires pour filtrer les techniques dans le MITRE-ATT&CK navigateur. Les informations contenues dans le MITRE-ATT&CK référentiel peuvent être sélectionnées.

    Filtre Description
    Groupe d’adversaires (groupe de menaces) Ensembles d’activités d’intrusion connexes suivies par un nom commun dans la communauté de sécurité. Les groupes peuvent désigner divers groupes de menaces, groupes d’activités, acteurs de menace, ensembles d’intrusion et campagnes. Vous pouvez ajouter plusieurs groupes au filtre Groupe d’adversaires (groupe de menaces ).

    Par exemple, vous ajoutez APT1 et AT12 car les deux sont des groupes de menaces attribués à la Chine. Bien que les deux groupes puissent cibler des sources différentes, ils pourraient utiliser des techniques similaires.
    Outil Logiciel légitime utilisé par des acteurs malveillants pour effectuer des attaques. Vous pouvez comprendre comment les acteurs de la menace exécutent les campagnes si vous savez comment et quels outils sont utilisés par les acteurs de la menace. Les outils comprennent à la fois les logiciels qui ne se trouvent pas sur un système d’entreprise et les logiciels disponibles dans le cadre d’un système d’exploitation déjà présent dans un environnement tel que les utilitaires Microsoft Windows.

    Par exemple, gsecdump est un dumper d’informations d’identification accessible au public que le groupe d’adversaires APTI1 utilise pour obtenir des hachages de mot de passe et des secrets LSA (autorité de sécurité locale) à partir des systèmes d’exploitation Microsoft Windows.
    Programme malveillant Logiciel commercial, personnalisé ou open source destiné à être utilisé à des fins malveillantes par des adversaires.

    Des exemples sont PlugX, CHOPSTICK, etc
    Plateforme Tactiques et techniques qui représentent MITRE-ATT&CK dans une plate-forme particulière.

    Par exemple, MITRE-ATT&CK prend en charge ces plateformes dans la matrice ATT&CK d’entreprise : Microsoft Windows, macOS, Linux, PRE, AWS, GCP, Azure, Azure AD, Office 365, SaaS, Réseau.
    Source de données Sources de données que vous collectez dans votre environnement et utilisez pour détecter MITRE-ATT&CK des techniques.

    La surveillance des DLL et les extensions de navigateur en sont des exemples.
    L’illustration suivante montre tous les filtres primaires disponibles dans le MITRE-ATT&CK navigateur.

    Filtres primaires.

    Utilisation d’une carte thermique avec des fonctionnalités primaires et avancées

    Vous pouvez utiliser une carte thermique avec des filtres avancés pour effectuer une analyse en corrélant les incidents de sécurité avec MITRE-ATT&CK les informations.

    Voir les ID de la technique

    Vous pouvez afficher les MITRE-ATT&CK ID de techniques avec les noms des techniques lorsque vous sélectionnez le filtre Afficher les ID de techniques .

    Afficher les techniques pertinentes par priorité

    Pour filtrer les techniques en fonction de leur priorité pertinente dans le navigateur, sélectionnez Filtrer par filtre de priorité pertinent de technique et sélectionnez la priorité pertinente dans le menu. Vous pouvez affecter plusieurs priorités pour le filtrage. Vous pouvez également pointer vers les techniques de la carte thermique pour connaître la priorité de la technique.

    Les informations de priorité pertinentes sont basées sur la priorité que vous avez définie dans le champ Priorité pertinente des techniques.

    Afficher la couverture de détection technique

    Pour afficher la couverture globale de détection de la technique dans la carte thermique, sélectionnez le filtre Afficher la couverture de détection de la technique. La carte thermique met en évidence le spectre visuel de la couverture de détection, y compris les angles morts où vous n’avez aucune couverture. La définition du score du système de base et les couleurs ont été définies dans la couverture de détection de la technique. Les informations ont été extraites automatiquement de la couverture globale de détection de la technique.

    Par exemple, les zones de la carte thermique marquées en rouge indiquent un manque de détection. Les zones marquées en bleu indiquent la présence d’options de détection complètes. Les zones marquées en orange, jaune et bleu clair reflètent les options de détection partielle.

    • La visualisation des couleurs est basée sur la définition de la technique et le code couleur que vous définissez.
    • La visualisation de la couverture est basée sur la technique de mappage de couverture de détection que vous définissez.
    • Si vous modifiez la définition de couverture du système de base, les icônes de type de couverture ne s’affichent pas avec les techniques de la carte thermique.
      Remarque :
      La carte thermique fonctionne comme prévu lorsque vous modifiez les mêmes champs que la couverture de détection technique et les couleurs de couverture définies par le système de base.

    Dans cette illustration, vous voyez la couverture de détection technique pour toutes les techniques et sous-techniques et le type de couverture avec leurs couleurs et icônes.

    Afficher la couverture d’atténuation de la technique

    Pour afficher la couverture d’atténuation globale de la technique dans la carte thermique, sélectionnez le filtre Afficher la couverture d’atténuation de la technique. La carte thermique met en évidence le spectre visuel de la couverture d’atténuation, y compris les zones où vous n’avez aucune couverture. La couverture d’atténuation, les couleurs et les plages de pourcentage ont été définies dans la définition de couverture d’atténuation. Les informations sont extraites de la couverture d’atténuation globale de la technique.

    Par exemple, les techniques surlignées en rouge indiquent qu’il n’y a pas de couverture d’atténuation, en orange indique une mauvaise couverture d’atténuation et en bleu indiquent une excellente couverture d’atténuation.
    • La visualisation des couleurs est basée sur la définition de l’atténuation de la technique et le code couleur que vous définissez.
    • La visualisation de la couverture est basée sur la technique de mappage de couverture d’atténuation que vous définissez.
    • Si vous modifiez la définition de la couverture d’atténuation du système de base, les icônes du type de couverture d’atténuation ne s’affichent pas avec les techniques de la carte thermique.
      Remarque :
      La carte thermique fonctionne comme prévu lorsque vous modifiez les mêmes champs que la technique, la couverture d’atténuation et les couleurs de couverture définies par le système de base.

    Afficher la couverture de détection et d’atténuation

    Vous pouvez utiliser les filtres de détection de technique et de couverture d’atténuation de technique ensemble pour obtenir un aperçu de la pertinence de la couverture de détection et d’atténuation de la technique pour votre organisation.

    Cette illustration montre comment utiliser les filtres de détection et d’atténuation.

    Afficher le groupe de menaces

    Pour afficher les informations sur le groupe de menaces à la technique sur la carte thermique, sélectionnez Afficher la carte thermique du groupe de menaces. Vous pouvez mesurer le nombre de groupes de menaces qui utilisent une technique particulière. La probabilité d’une attaque utilisant une technique particulière augmente lorsque vous avez un nombre élevé d’attaquants. Les groupes de menaces, les plages et les couleurs de la carte thermique ont été définies dans la définition de la carte thermique Groupe de menaces - Technique.

    Afficher les incidents de sécurité associés à la technique

    Pour afficher les techniques fréquemment exploitées dans votre organisation et ayant entraîné des incidents de sécurité, cliquez sur Afficher l’incident de sécurité associé à la technique. Vous pouvez afficher plus d’informations sur chacun des incidents de sécurité associés lorsque vous cliquez sur le lien qui s’ouvre dans une nouvelle fenêtre pour analyse.

    • Priorité : sélectionnez Priorité d’incident de sécurité pour filtrer par priorité d’incident de sécurité.
    • Plage de dates : sélectionnez la plage de dates de l’incident de sécurité pour filtrer les problèmes de sécurité par plage de dates.
    • Faux positifs : sélectionnez Filtrer les incidents de sécurité faux positifs pour supprimer les problèmes de faux positifs. La sélection de ce filtre réduit le nombre d’incidents de sécurité que vous voyez dans la carte thermique.

    Lorsque vous utilisez ce filtre avec le filtre Afficher la couverture de détection de la technique , il vous donne un aperçu de la pertinence de la couverture de détection de la technique pour votre organisation jusqu’à la date sélectionnée.

    Par exemple, lorsque vous activez les deux filtres, vous pouvez voir que dans le cadre de la tactique d’évasion de défense, la technique de mascarade n’a aucune couverture. Si l’on regarde plus loin, la technique de mascarade est liée à la tâche ou au service de mascarade, qui est également associé à un incident de sécurité. Cela montre qu’il y a une lacune dans la couverture de la détection technique pour la technique de masquage et vous voudrez peut-être réviser la couverture globale de la détection de la technique.

    Afficher les règles de détection

    Pour voir si vous avez défini des règles de détection pour une technique particulière, cliquez sur Afficher les règles de détection. Vous pouvez également afficher chaque règle de détection associée avec sa définition.

    Ces informations sont basées sur le mappage de règles de détection que vous avez défini.

    Afficher les CVE associés à la technique

    Pour afficher les informations CVE (Common Vulnerabilities and Exposures) associées à chacune des techniques, cliquez sur Afficher les CVE associées à la technique. Les informations relatives aux CVE à la technique sont basées sur les informations disponibles dans le module CVE - Technique Mapping (Mappage des techniques). Cela vous donne un aperçu des vulnérabilités connues et vous permet de savoir si des adversaires peuvent potentiellement exploiter votre organisation.

    Important :
    La carte thermique est améliorée pour afficher uniquement les CVE pertinents associés aux VIT

    Pour afficher les VIT associés aux CVE et aux techniques, sélectionnez Afficher les VIT associés aux CVE et aux techniques. En outre, pour filtrer davantage les techniques sans VIT, sélectionnez Masquer les techniques sans VIT. Les informations CVE et VIT que vous affichez sont extraites du Réponse aux vulnérabilités produit dans votre environnement. Vous pouvez afficher la liste filtrée des CVE et des VIT dans la carte thermique et accéder à chaque CVE ou VIT pour chaque technique à partir de la carte thermique.

    Remarque :
    • L’option Afficher les CVE associées à la technique n’est disponible que lorsque le Réponse aux vulnérabilités produit est installé dans votre environnement.
    • Les informations VIT et CVE sont calculées en fonction de la tâche planifiée que vous définissez dans le MITRE-ATT&CK Propriétés de. La tâche planifiée du système de base est définie sur 24 heures.

    Lorsque vous utilisez ce filtre avec le filtre Afficher l’incident de sécurité associé à la technique , vous pouvez savoir si les vulnérabilités connues ont causé des incidents de sécurité dans votre organisation.

    Vous pouvez afficher plus d’informations sur chaque CVE afin de déterminer si la CVE est pertinente pour votre organisation. Pour ce faire, affichez les éléments de vulnérabilité. Si des éléments de vulnérabilité sont créés, vous pouvez afficher plus d’informations sur les CI associés dans le Réponse aux vulnérabilités module. Vous pouvez également examiner la gravité et la priorité pour prendre des décisions éclairées.

    Analyser les incidents de sécurité

    Pour analyser les incidents de sécurité et examiner les techniques utilisées par un adversaire pour une attaque, cliquez sur Analyser les incidents de sécurité. Vous pouvez ajouter plusieurs incidents de sécurité à des fins d’analyse à l’aide de chaînes séparées par des virgules.

    Ce filtre vous aide à analyser un incident de sécurité. Vous pouvez savoir pourquoi l’incident s’est produit, quelles techniques ont été exploitées, si des acteurs de menace connus étaient impliqués, si les acteurs de la menace ont utilisé une séquence particulière pour une attaque, etc. Étant donné que vous pouvez analyser plusieurs incidents de sécurité en même temps, vous pouvez corréler les informations pour voir s’ils sont liés ou s’il s’agit d’un incident isolé. Si les incidents de sécurité sont liés et que vous observez un schéma, vous pouvez examiner leur progression sur la chaîne de frappe pour arrêter l’attaque ou élaborer une stratégie de défense pour votre organisation.

    Lorsque vous utilisez le filtre Analyser les incidents de sécurité avec des filtres primaires, tels qu’un groupe d’adversaires, vous pouvez corréler si des adversaires connus sont impliqués. Par exemple, lorsque plusieurs incidents de sécurité sont en cours d’analyse, les techniques associées aux incidents de sécurité sont présentes sous la forme d’une chaîne de frappe. Lorsque vous superposez les informations à celles de l’adversaire, vous remarquerez un chevauchement entre les techniques associées à l’incident de sécurité et les techniques associées à l’adversaire. Seules les informations sur la technique de chevauchement sont affichées si les deux filtres sont activés.

    Utilisation de la superposition pour analyser les incidents de sécurité et les groupes d’adversaires

    Utilisez le filtre Activer la superposition/l’analyse pour visualiser le comportement de l’adversaire et analyser un ou plusieurs des incidents de sécurité et corréler les informations pour voir si une attaque est un incident isolé ou une attaque coordonnée par un adversaire connu.

    Par exemple, vous pouvez désormais afficher les incidents de sécurité et le comportement de la chaîne de frappe de l’adversaire dans la même vue. Cette vue fournit des informations de chevauchement qui vous informent de l’attaque et du comportement connu de l’adversaire. Cela vous permet d’analyser s’il s’agit d’une attaque isolée ou coordonnée par un adversaire connu.

    L’activation du filtre d’analyse de superposition ignore tous les filtres primaires, à l’exception du filtre de groupe d’adversaires , et ignore le filtre avancé Filtrer par priorité pertinente de technique lors de la génération d’une vue.

    Une fois que vous avez activé le filtre d’analyse de superposition, utilisez la palette de couleurs pour attribuer des couleurs aux éléments suivants :
    • Analyser l’incident de sécurité
    • Groupe d'adversaires
    • Superposition

    L’illustration suivante montre que le groupe d’adversaires APT18 est réparti entre plusieurs techniques et tactiques dans la chaîne de destruction. L’analyse montre également qu’il existe trois techniques qui superposent le groupe d’adversaires et les incidents de sécurité que vous suivez.