MITRE ATT&CK
ATT&CK Navigator et cas d’usage
Cartographie des comportements adverses, sources de données, couverture de détection et ATT&CK Navigator.
Navigator
ATT&CK Navigator permet de colorer les techniques et d'ajouter des scores/commentaires.
Calques utiles
- couverture de collecte ;
- couverture de détection ;
- techniques observées pendant un incident ;
- plan d'exercice Purple Team ;
- priorités d'amélioration ;
- comparaison avant/après projet.
Échelle simple
| Score | Signification |
|---|---|
| 0 | aucune donnée |
| 1 | donnée partielle |
| 2 | donnée collectée |
| 3 | détection en test |
| 4 | détection active et triée |
| 5 | détection validée régulièrement |
Priorisation
Ne cherche pas une couverture uniforme. Priorise selon :
- menaces pertinentes ;
- actifs critiques ;
- historique d'incident ;
- capacité de réponse ;
- coût et qualité de la télémétrie.
Revue
Mets à jour le calque lors d'un changement de version ATT&CK, d'une migration SIEM, d'un nouvel EDR ou après un incident important.
À retenir
Un carré coloré ne prouve pas la détection. Il doit pointer vers une source, une règle, un propriétaire et un test récent.