MITRE ATT&CK フレームワークは、攻撃者がシステムを侵害するために使用する戦術、手法、および手順（TTP）の概要を示す包括的なナレッジベースです。これらの TTP をさまざまなオペレーティングシステムとプラットフォームのマトリックスに編成し、各攻撃段階（戦術）を特定の方法（手法）にマッピングします。各手法には、実行、手順、防御、検出、および実際の例に関する情報が含まれています。

（注）	MITRE ATT&CK に関するその他の情報については、https://attack.mitre.org [英語] を参照してください。

Management Center では、MITRE ATT&CK フレームワークを使用して脅威検出と対応が強化されており、次の機能が組み込まれています。

• 侵入イベントには TTP が含まれます。これにより、管理者は、脆弱性タイプ、ターゲットシステム、または脅威カテゴリに従ってルールをグループ化して、より緻密にトラフィックを管理できるようになります。

• TTP を使用するマルウェアイベントを選択して、脅威を検出して対応する機能を強化できます。

• MITRE の戦術、手法、および手順（TTP）が侵入イベントに追加されることで、管理者は MITRE ATT&CK フレームワークに基づいてトラフィックに対処できるようになります。これにより、管理者はトラフィックをより細かく表示および処理でき、脆弱性タイプ、ターゲットシステム、または脅威カテゴリ別にルールをグループ化することができます。

• MITRE ATT&CK フレームワークに従って侵入ルールを編成できます。これにより、特定の攻撃者の戦術と手法に応じてポリシーをカスタマイズできます。

大規模な企業ネットワークで、主要な侵入検知および防御システムとして Snort 3 を使用しているとします。セキュリティへの脅威が急速に進化する状況では、堅牢なネットワークセキュリティ対策の採用が必要かつ重要です。ネットワーク管理者は、設定されたポリシーで対象のトラフィックが検出されているかどうかと、既知の攻撃グループがトラッキングされているかどうかを知る必要があります。たとえば、攻撃者がシステムまたはアプリケーションの弱点を利用して、予期しない動作を引き起こそうとしているかどうかを知る必要がある場合があります。考えられるシステムの弱点には、バグ、グリッチ、または設計上の脆弱性があります。考えられるアプリケーションには、Web サイト、データベース、サーバーメッセージブロック（SMB）やセキュアシェル（SSH）などの標準サービス、ネットワークデバイスの管理プロトコル、または Web サーバーや関連サービスなどのアプリケーションがあります。

MITRE フレームワークによって提供されるインサイトにより、管理者は特定の資産の保護を指定し、特定の脅威グループからネットワークを保護するための、より適切な機会を得ることができます。

• Cisco Secure Firewall Management Center および Cisco Secure Firewall Threat Defense バージョン 7.3.0 以降を Snort 3 とともに実行している必要があります。

• 少なくとも 1 つの侵入ポリシーが必要です。「カスタム Snort 3 侵入ポリシーの作成」を参照してください。

• Intrusion Policy in Snort 3

• Snort 3 侵入ポリシーの編集

• MITRE Information in Malware Events