MITRE 適用範囲の要約およびトレンドの可視化

MITRE 要約レポートとトレンド・レポートには、QRadar® Use Case Manager の対象である各種戦術の概要が記されています。 表、棒グラフ、およびレーダー・チャートで要約データを分析できます。 無効なマッピングはセキュリティー状況に寄与しないため、グラフでは、有効なルールへの有効なマッピングの数のみがカウントされます。

1. 可視化ペインの右上にある 「ATT & CK アクション」 > 「カバレッジの要約およびトレンド」 をクリックします。
2. 「MITRE カバレッジ・サマリー (MITRE Coverage Summary)」 テーブルを編集して、計画された数とパーセンテージを変更し、カバレッジが不足している場所を確認します。
   例えば、「特権エスカレーション」戦術の現在のルール数は 7 であり、4% の範囲を表しますが、35% の範囲が必要です。 計画されたパーセンテージを編集すると、必要なカバレッジのレベルを提供するために 59 個のルールが必要であることが分かります。
   

   ヒント: マップされたルールの総数は、各戦術にマップされたルールの合計ではありません。 例えば、ルールがディスカバリー戦術と影響戦術をカバーしている場合、そのルールはカバーしている各戦術でカウントされますが、計算された合計数では 1 回のみカウントされます。
   1. 適応範囲の改善に必要なルール・マッピングを追加したら、適応範囲レポートを再確認して、適応範囲が改善されたかどうかを確認します。
   2. 有効なルールのメトリックのみを表示するには、スイッチを 「オン」に設定します。
      スイッチが 「オン」の場合、無効になっているルールのメトリックは、グラフからフィルターで除外されます。
   3. 「日付」のカレンダー・アイコンをクリックして、グラフの範囲の日付を変更します。 日付は、現在の日付の 3 カ月前までさかのぼれます (これがデフォルトです)。
   4. 棒グラフをフルスクリーンに展開します。
   5. 棒グラフを CSV、PNG、または JPG の形式でエクスポートします。
   6. 棒グラフ・データを表形式で表示します。 その後、データをオフラインで表示したり同僚と共有したりするために、CSV 形式でエクスポートします。
3. 「MITRE カバレッジ・トレンド」 グラフで、凡例内の戦術をクリックして、ビューを微調整したり、一定期間にわたる合計カバレッジ・トレンドを表示したりします。 デフォルトの時刻範囲は 3 カ月間です。 各日付の縦線にカーソルを置くと、戦術ごとに適用範囲の合計が表示されます。
   
   1. グラフをフルスクリーンに展開します。
   2. グラフを CSV、PNG、または JPG の形式でエクスポートします。
   3. グラフ・データを表形式で表示します。 その後、データをオフラインで表示したり同僚と共有したりするために、CSV 形式でエクスポートします。
4. QRadarのライブ・データでグラフを更新するには、更新アイコンをクリックします。 データは、自動的に夜間に 24 時間ごとに更新されます。
5. サマリー・レポートまたはトレンド・レポート、あるいはページ全体を PNG イメージとしてエクスポートするには、ページの関連する各セクションでエクスポート・アイコンをクリックします。 その後、 QRadar Use Case Managerにアクセスできないワーク・メンバーやエグゼクティブとイメージを共有できます。
6. レポート可視化を閉じてダッシュボードに戻ります。