MITRE-ATT&CK のヒートマップとナビゲーター

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:16分

    • MITRE-ATT&CK のヒートマップとナビゲーターを使用して、基本的なナビゲーションを行い、全体的なテクニックディスカバリー範囲をビジュアル化できます。

    MITRE-ATT&CK のヒートマップとナビゲーターの概要

    ナビゲーターとプライマリフィルターを使用して、ATT&CK マトリクスの基本的なナビゲーションと観測を行うことができます。ヒートマップは、組織の対象範囲の死角を含むディスカバリー範囲のスペクトラムをハイライト表示します。これは、テクニックディスカバリー範囲をマッピングした後に使用できます。

    ヒートマップとナビゲーターでは、次のことができます。
    • 組織の検出機能を迅速かつ効率的に特定し、テクニックディスカバリー範囲のギャップをハイライト表示します。
    • 関連機能を使用して脅威をハンティングし、脅威の相関付けを実行します。

    MITRE-ATT&CK のヒートマップとナビゲーターにアクセスする

    MITRE-ATT&CK のヒートマップとナビゲーターにアクセスして、ATT&CK を利用できるマトリクスをビジュアル化できます。

    始める前に

    必要なロール:sn_ti.read、sn_ti.mitre_analyst

    このタスクについて

    ヒートマップを確認し、フィルターを使用して相関をとり、MITRE-ATT&CK 情報、観測事象、および組織内のセキュリティインシデントのリンク分析を実行できます。

    手順

    1. 移動先 すべて > 脅威インテリジェンス > MITRE ATT&CK リポジトリ > ヒートマップとナビゲーター.
      ヒートマップとナビゲーターが新しいタブで開きます。
    2. ヒートマップに入力するソースを選択します。
      注:
      アクティブ化されたコレクションマトリクスのみがソースリストに表示されます。

      次の図は、ヒートマップとナビゲーターに移動する方法、およびソース (この例ではエンタープライズ ATT&CK) を選択する方法を示しています。

    3. 検索ボックスを使用すると、名前または ID を使用することで、特定の戦術やテクニックをすばやく見つけることができます。

      次の図は、戦術、テクニック、またはそれらに含まれている情報を検索する方法を示しています。

    4. [フィルター] をクリックし、[プライマリ] または [詳細 (Advanced)] フィルターからフィルターを選択します。
    5. [適用] をクリックし、次のようにフィルターをコントロールします。
      • フィルターを保存するには、カスタムビューを作成します。3 つのカスタムビューを作成して保存できます。
      • 選択したフィルターを削除するには、[デフォルトフィルターを復元] をクリックしてデフォルトの保存されたビューをロードします。
      • すべてのフィルターと既存のビューをクリアするには、[すべてのフィルターをクリア] をクリックします。
      注:
      保存するビューはユーザーに固有のものです。
    6. [サブテクニックを非表示 (Hide Sub-Techniques)] をクリックして、ヒートマップビューからすべてのサブテクニックを削除します。
      テクニックにサブテクニックがある場合は、展開アイコンをクリックしてサブテクニックを表示できます。

    カスタムビューの使用

    MITRE-ATT&CK のヒートマップとナビゲーターのカスタムビューを使用すると、お気に入りのフィルターを保存して、次回ヒートマップにアクセスしたときに表示できます。

    注:
    各ユーザーの MITRE-ATT&CK コレクションごとに 3 つのカスタムビューを作成して保存できます。

    ビューの作成

    [プライマリ] フィルターまたは [詳細] フィルターから必要なフィルターを選択したら、[フィルター] ヘッダーの省略記号 (...) ボタンをクリックし、[新規ビューを作成] を選択します。カスタムビュー名を入力し、[ビューを保存] をクリックします。

    デフォルトビュー

    [デフォルトビューとして保存] をクリックすると、次にヒートマップにアクセスしたときにビューが直接ロードされます。各コレクションのデフォルトビューを設定できます。

    注:
    脅威インテリジェンス プラグインを古いバージョンからアップグレードすると、古いバージョンの既存のデフォルトビューがカスタムビューとして表示されます。

    ビューの更新

    必要な [プライマリ] フィルターまたは [詳細] フィルターを変更することで、既存のカスタムビューを更新できます。カスタムビューを選択し、必要に応じてフィルターを更新して、[フィルター] ヘッダーの省略記号 (...) ボタンをクリックし、[ビューの更新] を選択してフィルターを保存します。

    カスタムビューの管理

    各カスタムビューの横にあるチェックボックスを使用して、選択したカスタムビューフィルターを適用します。

    各カスタムビュー名の横にある省略記号 (...) ボタンをクリックして、カスタムビューを次のように制御します。
    • デフォルトビューを設定します。
    • デフォルトビューとしてのカスタムビューを削除します。カスタムビューは削除されません。
    • カスタムビューの名前を変更します。
    • カスタムビューを削除します。

    保存されたビューのエクスポート

    保存されたカスタムビューを JSON ファイルにエクスポートするには、[フィルター] ヘッダーの省略記号 (…) をクリックし、[保存されたビューのエクスポート (Export saved views)] を選択します。ローカルコンピューターにダウンロードするカスタムビューのダウンロードアイコンをクリックします。

    ビューのインポート

    JSON ファイルのみをインポートできます。カスタムビューをインポートするには、[フィルター] ヘッダーの省略記号 (…) ボタンをクリックし、[ビューのインポート (json)] を選択します。

    ビューをインポートする場合は、次の条件を確認してください。
    • インポートできるのは JSON ファイル形式のみです。
    • 一度にインポートできるビューまたはファイルは 1 つのみです。
    • フィルターに既に 3 つのカスタムビューがある場合は、インポートできません。カスタムビューを削除し、ビューをインポートします。
    • 既存のカスタムビュー名のビューをインポートすることはできません。インポートする前にビューの名前を変更します。

    プライマリフィルターを使用したナビゲーター

    プライマリフィルターを使用して、MITRE-ATT&CK ナビゲーターでテクニックをフィルタリングします。MITRE-ATT&CK リポジトリ内の情報を選択できます。

    フィルター 説明
    攻撃者グループ (脅威グループ) セキュリティコミュニティで共通の名前で追跡される、関連する侵入アクティビティのセット。グループは、さまざまな脅威グループ、アクティビティグループ、攻撃者、侵入セット、およびキャンペーンを意味します。[攻撃者グループ (脅威グループ)] フィルターに複数のグループを追加できます。

    たとえば、APT1 と AT12 はどちらも中国に起因する脅威グループであるため追加するとします。両方のグループが異なるソースを標的にする可能性がありますが、同様のテクニックを使用できます。
    ツール 攻撃者が攻撃を実行するために使用する正当なソフトウェア。攻撃者がどのようにどのツールを使用しているかを把握できれば、攻撃者がどのようにキャンペーンを実行するかを理解できます。ツールには、エンタープライズシステムに存在しないソフトウェアと、Microsoft Windows ユーティリティなど、環境に既に存在するオペレーティングシステムの一部として利用可能なソフトウェアの両方が含まれています。

    たとえば、gsecdump は、APTI1 攻撃者グループが Microsoft Windows オペレーティングシステムからパスワードハッシュと LSA シークレット (ローカルセキュリティ機関) を取得するために使用する、公開されている認証情報ダンパーです。
    マルウェア 攻撃者が悪意のある目的で使用することを意図した、商用、カスタムのクローズソース、またはオープンソースのソフトウェア。

    例としては、PlugX、CHOPStick などがあります。
    プラットフォーム 特定のプラットフォームで MITRE-ATT&CK を表す戦術とテクニック。

    たとえば、MITRE-ATT&CK は Enterprise ATT&CK マトリクスのプラットフォーム (Microsoft Windows、macOS、Linux、PRE、AWS、GCP、Azure、Azure AD、Office 365、SaaS、Network) をサポートしています。
    データソース 環境内で収集し、MITRE-ATT&CK テクニックを検出するために使用するデータソース。

    例として、DLL モニタリング、ブラウザー拡張があります。
    次の図は、MITRE-ATT&CK ナビゲーターで利用可能なすべてのプライマリフィルターを示しています。

    プライマリフィルター

    プライマリ機能と高度な機能を備えたヒートマップの使用

    詳細フィルターを備えたヒートマップを使用して、セキュリティインシデントを MITRE-ATT&CK 情報と関連付けることができます。

    テクニック ID の表示

    [テクニック ID を表示] フィルターを選択すると、テクニック名と MITRE-ATT&CK テクニック ID を表示できます。

    関連するテクニックを優先度別に表示

    関連する優先度に基づいて、ナビゲーターでテクニックをフィルタリングするには、[テクニックの関連性の優先度でフィルター] を選択し、メニューから[関連する優先度] を選択します。フィルタリングに複数の優先度を割り当てることができます。ヒートマップのテクニックをポイントして、テクニックの優先度を確認することもできます。

    関連する優先度情報は、[テクニック] の [関連する優先度] フィールドで設定した優先度に基づいています。

    テクニックディスカバリー範囲の表示

    ヒートマップで全体的なテクニックディスカバリー範囲を表示するには、[テクニックディスカバリー範囲を表示] フィルターを選択します。ヒートマップは、対象範囲の死角を含むディスカバリー範囲の視覚的スペクトラムをハイライト表示します。ベースシステムのスコアリング定義と色は、[テクニックディスカバリー範囲]で定義されています。情報は、全体的なテクニックディスカバリー範囲から自動抽出されます。

    たとえば、赤でマークされたヒートマップの領域は、検出がないことを示します。青色でマークされた領域は、完全な検出機能が存在することを示します。オレンジ、黄色、およびライトブルーでマークされた領域は、部分的な検出機能を反映しています。

    • 色の可視化は、定義したテクニック定義と色分けに基づいています。
    • 対象範囲の可視化は、定義したテクニックディスカバリー範囲のマッピングに基づいています。
    • ベースシステムの対象範囲の定義を変更すると、テクニックとともに対象範囲タイプのアイコンがヒートマップに表示されなくなります。
      注:
      ベースシステムの定義されたテクニックディスカバリー範囲および対象範囲の色と同じフィールドを変更すると、ヒートマップは正常に機能します。

    この図では、すべてのテクニックとサブテクニックのテクニックディスカバリー範囲とその対象範囲タイプが色とアイコンで示されています。

    テクニック緩和対象範囲の表示

    ヒートマップで全体的なテクニック緩和対象範囲を表示するには、[テクニック緩和対象範囲を表示 (Display technique mitigation coverage)] フィルターを選択します。ヒートマップは、対象範囲のない領域を含む、緩和対象範囲の視覚的スペクトラムをハイライト表示します。緩和対象範囲、色、およびパーセンテージ範囲は、[緩和対象範囲の定義] で定義されています。情報は、[全体的なテクニック緩和対象範囲] から抽出されます。

    たとえば、赤でハイライト表示されたテクニックは緩和対象範囲がないことを示し、オレンジ色は緩和対象範囲が狭いことを示し、青は緩和対象範囲が広いことを示します。
    • 色の可視化は、定義したテクニック緩和定義と色分けに基づいています。
    • 対象範囲の可視化は、定義したテクニック緩和対象範囲のマッピングに基づいています。
    • ベースシステムの緩和対象範囲の定義を変更すると、テクニックとともに緩和対象範囲タイプのアイコンがヒートマップに表示されなくなります。
      注:
      ベースシステムの定義されたテクニック緩和対象範囲および対象範囲の色と同じフィールドを変更すると、ヒートマップは正常に機能します。

    検出と緩和対象範囲の表示

    テクニック検出とテクニック緩和対象範囲フィルターを一緒に使用して、組織のテクニック検出と緩和対象範囲を把握できます。

    この図は、検出と緩和フィルターを一緒に使用する方法を示しています。

    脅威グループの表示

    ヒートマップのテクニック情報に脅威グループを表示するには、[脅威グループヒートマップを表示 (Display threat group heat map)] を選択します。特定のテクニックを使用している脅威グループの数を測定できます。多数の攻撃者がいる場合、特定のテクニックを使用する攻撃の可能性が高くなります。脅威グループ範囲とヒートマップの色は、[脅威グループテクニックヒートマップ定義] で定義されています。

    テクニックに関連するセキュリティインシデントの表示

    組織で頻繁に悪用され、セキュリティインシデントを引き起こしたテクニックを表示するには、[テクニックに関連するセキュリティインシデントを表示] をクリックします。リンクをクリックすると、分析のために新しいウィンドウで開き、関連する各セキュリティインシデントに関する詳細情報を表示できます。

    • 優先度:[セキュリティインシデント優先度] を選択して、セキュリティインシデントの優先度でフィルタリングします。
    • 日付範囲:[セキュリティインシデントの日付範囲] を選択して、日付範囲でセキュリティ問題をフィルタリングします。
    • 誤検出:[誤検出セキュリティインシデントをフィルター] を選択して、誤検出の問題を削除します。このフィルターを選択すると、ヒートマップに表示されるセキュリティインシデントの数が減少します。

    このフィルターと [テクニックディスカバリー範囲を表示] フィルターを使用すると、選択した日付までの組織のテクニックディスカバリー範囲の関連性を把握できます。

    たとえば、両方のフィルターをオンにすると、防御回避戦術では成り済ましテクニックが範囲の対象外になることがわかります。さらに詳しく調べると、成り済ましテクニックは成り済ましタスクまたはサービスに関連しており、それに関連付けられているセキュリティインシデントもあります。これは、成り済ましテクニックではテクニックディスカバリー範囲にギャップがあり、全体的なテクニックディスカバリー範囲を変更する必要があることを示しています。

    検出ルールの表示

    特定のテクニックに検出ルールが定義されているかどうかを表示するには、[検出ルールを表示] をクリックします。関連する各検出ルールとその定義を表示することもできます。

    この情報は、定義した検出ルールのマッピングに基づいています。

    テクニックに関連する CVE の表示

    各テクニックに関連付けられている共通脆弱性識別子 (CVE) 情報を表示するには、[テクニックに関連する CVE を表示] をクリックします。CVE とテクニックの情報は、CVE - テクニックマッピングモジュールで提供される情報に基づいています。これにより、既知の脆弱性を把握できるようになり、攻撃者が組織の脆弱性を悪用できるかどうかの可能性を確認できます。

    重要:
    ヒートマップが拡張され、VIT に関連付けられている関連 CVE のみが表示されます。

    CVE とテクニックに関連付けられた VIT を表示するには、[CVE とテクニックに関連付けられた VIT を表示 (Display VITs associated with CVE and techniques)] を選択します。さらに、VIT なしでテクニックをさらにフィルタリングするには、[VIT なしで テクニックを非表示 (Hide techniques without VITs)] を選択します。表示する CVE および VIT 情報は、お使いの環境の 脆弱性対応 製品から取得されます。ヒートマップに CVE および VIT のフィルター済みリストを表示し、ヒートマップからすべてのテクニックの各 CVE または VIT に移動できます。

    注:
    • [テクニックに関連する CVE を表示] は、脆弱性対応 製品が環境にインストールされている場合にのみ使用できます。
    • VIT および CVE 情報は、次で設定したスケジュール済みジョブに基づいて計算されます MITRE-ATT&CK properties. ベースシステムのスケジュール済みジョブは 24 時間に設定されています。

    このフィルターと [テクニックに関連するセキュリティインシデントを表示] フィルターを使用すると、既知の脆弱性が組織内でセキュリティインシデントを引き起こしたかどうかを確認できます。

    各 CVE に関する詳細情報を表示して、CVE が組織に関連するかどうかを分析できます。これを行うには、脆弱性一致アイテムを表示します。脆弱性一致アイテムが作成されると、脆弱性対応 モジュール内の関連する CI 情報に関する詳細情報を表示できます。重大度と優先度を確認して、情報に基づいた意思決定を行うこともできます。

    セキュリティインシデントの分析

    セキュリティインシデントを分析し、攻撃者が使用したテクニックを確認するには、[セキュリティインシデントを分析] をクリックします。カンマ区切りの文字列を使用して、複数のセキュリティインシデントを追加して分析できます。

    このフィルターは、セキュリティインシデントの分析に役立ちます。インシデントが発生した理由、悪用されたテクニック、既知の攻撃者が関与していたかどうか、攻撃者が特定のシーケンスを攻撃に使用したかどうかなどを確認できます。複数のセキュリティインシデントを同時に分析できるため、情報を関連付けて、それらが関連するかどうか、または独立したインシデントであるかどうかを確認できます。セキュリティインシデントが関連しており、パターンが観察された場合、キルチェーンの進捗状況を確認して、攻撃を阻止したり、組織の防御戦略を策定したりすることができます。

    [セキュリティインシデントを分析] フィルターとプライマリフィルター (攻撃者グループなど) を使用すると、既知の攻撃者が関与しているかどうかを関連付けることができます。たとえば、複数のセキュリティインシデントが分析されている場合、セキュリティインシデントに関連するテクニックはキルチェーンの形で存在します。攻撃者と情報を重ね合わせると、セキュリティインシデントに関連するテクニックと攻撃者に関連するテクニックが重複していることがわかります。両方のフィルターが有効になっている場合は、重複するテクニック情報のみが表示されます。

    オーバーレイを使用したセキュリティインシデントと攻撃者グループの分析

    [オーバーレイ/分析を有効にする (Enable Overlay/Analyze)] フィルターを使用すると、攻撃者の動作を表示して、1 つ以上のセキュリティインシデントを分析して情報を関連付け、攻撃が独立したインシデントなのか、既知の攻撃者による連携した攻撃なのかを確認できます。

    たとえば、セキュリティインシデントと攻撃者のキルチェーンの動作を同じビューで表示できます。このビューは、攻撃と既知の攻撃者の動作を知らせる重複情報を提供します。これにより、既知の攻撃者による独立した攻撃なのか、それとも連携した攻撃なのかを分析できます。

    オーバーレイ分析フィルターを有効にすると、[攻撃者グループ] フィルターを除くすべてのプライマリフィルターが無視され、ビューの生成中に高度なフィルター [テクニックの関連性の優先度でフィルター] が無視されます。

    オーバーレイ分析フィルターを有効にしたら、カラーパレットを使用して次の色を割り当てます。
    • セキュリティインシデントの分析
    • 攻撃者グループ
    • オーバーレイ

    次の図は、攻撃者グループ APT18 がキルチェーンの複数のテクニックと戦術にわたることを示しています。この分析では、追跡している攻撃者グループとセキュリティインシデントにオーバーレイする 3 つのテクニックがあることも分かります。