読メモ:Delivering industry-leading detection for a sixth consecutive year
MITRE ATT&CK で公開している TTP についてはこちらの記事で触れましたが、MITRE が毎年公開している MITRE Evaluation のレポートにおいて、Microsoft の XDR が業界をリードするソリューションとして位置づけられたということで、MITRE のレポートの内容も含めてみていきたいと思います。
MITRE Evaluation
例年、MITRE はエミュレートされた行動を Secret Blizzard のような特定のサイバー脅威アクターグループに限定していましたが、今年は、Windows および Linux に対して実行されるさまざまな悪意のある動作を通知する攻撃カテゴリとしてランサムウェアを追加しました。MacOS を標的とした北朝鮮の脅威アクターをエミュレートした評価をはじめ、CL0P、LockBit、Protections と4つのシナリオをカバーし、各種の TTP に関するカバレッジや Detection などの項目を評価しています。
さて、評価項目の中で面白いなと感じたのが、誤検知の評価です。誤検知は、運用するユーザーにとっては非常に煩わしく、導入前の検討時に気にされる場合が結構多いのではないかと思います。しかし、誤検知を減らすことと検知漏れはコインの裏表的な部分もあり、誤検知が少ないだけでは製品の評価としては十分ではないですね。
下記は、攻撃のブロック結果に関する色分けについての説明です。誤検知の数よりは、むしろこちらのほうが重要でしょう。
各シナリオの詳細や、評価項目については MITRE Evaluation のサイトで詳細に説明されていますので、気になる方はこちらを読んでいただければと思います。
実際の Evaluation の結果を見てみます。製品ごとに結果を並べてみることもできるようになっていましたので、並べて差を見てみました。左側が Microsoft の Defender です。このケースだと、左側は誤検知がゼロで、Detection に関する情報も Specific という評価がほとんどです。
Microsoft Defender の特徴
MITRE Evaluation のページを一通り眺めたところで、Microsoft のブログに戻ります。MITRE Evaluation で評価した 4つのシナリオについて、総合的に Detection のカバレッジをまとめたグラフのようです。
ブログの記載によれば、Microsoft Defender の特徴としては、Linux、MacOS、Windowsのすべてにおいて誤検知がゼロであること、また、Linux および MacOS に関して100%の技術レベルの検出(原文そのままにしておきます)などが挙げられています。
Linux と MacOS の保護について協調されている点がなんともコメントしがたいところではありますが、複数のプラットフォームを利用されているユーザーがほとんどだと思いますので、こういった指標をもとに製品選定を進めるのも良いかもしれません。