MITRE ATT&CK 2022年测试结果排名+翻译

神龟Turmi

看到卡饭似乎有一些人对EDR还是比较感兴趣的
鉴于MITRE并没有做官方的排名，并且完整的报告也不是那么容易理解
我把MITRE的2022年结果做成了图表，方便对比和排名
以下所有数据均来自
https://attackevals.mitre-engenu ... ard-spider-sandworm
另外，MITRE的2023年测试也已经开始了，考虑到他们测试的周期比常规安全软件测试长得多（例如AVC真实世界），估计这两个月内是看不到2023年的测试结果了

以下是三个指标的翻译 翻译内容全部来自MITRE官网或博客 批注内容为本人为方便理解而加入的通俗理解：

Analytic Coverage（分析范围）：具有富含分析逻辑的检测的子步骤的比例（例如至少有一个一般、战术或技术检测类别）
批注：Analytic Coverage简单的可以理解为检测到了恶意的行为，至于类别不是太需要关心，所以我全部归于一类，没有细分

Telemetry Coverage（遥测范围）：检测到但只显示最小可处理数据的子步骤的比例（例如遥测探测类）
批注：Telemetry Coverage简单的可以理解为记录下了一些对于恶意行为的信息，但是并没有直接的体现出这是一个恶意行为，可以认为是并不能让用户立即的发现这是一次攻击，只能用于后续溯源和响应

Visibility（可见性）：有分析或遥测检测的子步骤的比例
批注：就是恶意行为至少触发了上面两种范围类型至少一种的比例

由于MITRE部分测试项目在Linux下进行，但并不是所有参加的EDR厂商都支持Linux，所以我将使用百分比来展现结果而不是具体数量
（假如有的厂商支持了Linux但是Linux版做的非常差。。。那就不好意思咯）
考虑到不是每个用户都非常了解攻击手段，我图表中使用Analytic Coverage作为默认的排名依据
（当然可见性也是很重要的，我这句话并不是否定某些可见性高但是分析范围较低的方案的意思）

好了，下面就是整理之后的结果

另外附送折线图

wohaofan1200

不明觉厉，支持楼主！

chjs

哈哈哈，刚才刚看了官网的这个....  这里有个结果分析：
https://www.secrss.com/articles/41023
如何看懂MITRE安全评测报告：
https://cloud.tencent.com/developer/article/1815747

从你给的曲线看，似乎McAfee的比较平衡？

呵呵大神001

mitre不认可你（直球）

神龟Turmi

呵呵大神001 发表于 2023-2-16 19:04
mitre不认可你（直球）

那他们不认可的是他们自己 我可没算数据 都是他们自己报告上的数字 我从大到小了一下而已

chjs

说白了这玩意不就是本地端点检测的技术Agent+云分析+事件可视化攻击视图方便后续还原调查处理，通过控制台可以提前用于企业的整体防御部署。感觉没什么新东西。。说白了，还是要传统的本地检测能力强是一大优势。遥测数据分析你得首先要网络基础设施畅通，黑客把你内网掐断了，霍霍，端点只能自己单干了。。就好像那个勒索软件加密要复原文件了，McAfee你没中央控制台搞个鬼。。。

呵呵大神001

神龟Turmi 发表于 2023-2-16 20:16
那他们不认可的是他们自己 我可没算数据 都是他们自己报告上的数字 我从大到小了一下而已

di：你这是wf行为（mitre不认可）走，跟我去zs（狠狠批判edr万能论）

LeeHS

有大佬询问过cybereason的报价吗，看Crowdstrike Falcon Endpoint Security 和 XDR vs Cybereason Endpoint Detection & Response 比較。两边评价一个‘價格高得離譜’，另一个‘昂貴的產品’

神龟Turmi

LeeHS 发表于 2023-2-17 10:51
有大佬询问过cybereason的报价吗，看Crowdstrike Falcon Endpoint Security 和 XDR vs Cybereason Endpoint ...

问不到

megakotaro

EDR著重在R：Response(響應)
端點偵測到後，要怎麼應對？將主機隔離全機掃毒？將IoC加入？自行撰寫YARA Rule？
反之，端點沒有異狀，那又要怎麼響應？
所以端點必須強大，需有多層次的防禦技術，才能偵測到端點事件，讓管理員可以響應
基本功不紮實，R了老半天還是被擊潰