快速阅读MITRE已经成为EDR的通用语言，是评估产品向SOC提供可操作信息的能力的实际方法。MITRE ATT&CK对APT29的使用，APT29是一个臭名昭著的躲避DNC的威胁行为体，它向我们展示了当今许多EDR工具无法应对先进技术。CISO应仔细评估在MITRE仿真的每个阶段，哪些技术能够捕获最多的信息并提供上下文。在这篇文章中，我们将讨论哨兵龙在米特的ATT&CK第二轮中的表现，并给出以下几点建议。"哨兵龙"的漏检次数最少。SentinelOne已经证明它提供了MITRE ATT&CK框架的最广泛的覆盖范围–EDR主要是通过其查看、分析和反应的能力来衡量的–SentinelOne比任何其他供应商看到的更多，提供了更多的洞察力和背景。SentinelOne实现了最高数量的联合高质量检测和最高数量的相关检测。SentinelOne提供了最多数量的可操作检测——MITRE已将活动的成功归因于其战术（良好）和技术（最佳）作为EDR价值和ROI的重要衡量标准。SentinelOne提供了比其他供应商更好的MITRE属性。在为期3天的测试中，什么企业需要ddos防御，SentinelOne自动将数百个数据点分组为11个相关的控制台警报。SentinelOne自动将相关活动关联到统一警报中，以提供活动级别的洞察力。这减少了所需的手动工作量，有助于缓解警报疲劳，并显著降低了响应警报的技能障碍。SentinelOne将相同数量的可见性聚合到一小部分警报中。人力支持的MSSP分数不能成为软件检测能力故障的拐杖。SentinelOne只检测产品的数量最多，同时也是人类唯一的"MSSP"检测数量最多的。在这两个方面得分最高是一件好事，这意味着该技术本身很强大，可以独立运行，无需管理式检测与响应（MDR）服务；对于SentinelOne，世界级的警戒MDR服务是可选的——如果客户希望或需要此类服务，则提供验证和行动。如果优秀的产品能够以更少的成本完成更多的工作，如果它们能使分析师的工作更轻松、更有趣，并且能够在不影响生产环境的情况下投入运营，那么优秀的产品将吸引CISO和SecOps专业人士的目光。现在读完整的故事…最新的MITRE ATT&CK结果于2020年4月21日（星期二）发布，正如预期的那样，解释这些结果只是一个练习。咨询MITRE测试是一个组织可以用来帮助评估网络威胁准备的一个组成部分，特别是网络安全解决方案在面对对手时的表现如何SentinelOne在2020年4月20日的博客深入探讨了MITRE测试背后的基本原理和方法，是理解MITRE ATT&CK的一个有用的概要。重要的是要明白，这个MITRE测试并不是测试MITRE框架中的所有内容，而是集中在一个实验室中三天内的两个特定攻击流高层评论我们警告您不要相信您将阅读的与本次测试相关的所有声明-质疑所有问题并检查数据。您可以从SentinelOne得到的是，我们将提供数据，并尽我们所能提供帮助，使您能够帮助您自己理解它的所有含义。我们还将阐明我们的价值主张和设计原则。因此，通过交叉这两个领域，我们将提供肥沃的土壤，让你们可以得出自己的结论。1眼见为实：覆盖面是赌桌上的赌注一个优越的EDR解决方案的基础在于它能够以一种经济的方式消耗和关联数据，以经济的方式利用云的力量。每一个相关的数据都应该被捕捉到，为操作者提供视野的广度。数据，特别是捕获所有事件，是EDR的构建块。如下图所示，在第二轮的所有参与者中，哨兵龙的失误最少2上下文是操作数据的关键我们相信，我们的MITRE结果清楚地支持了SentinelOne平台的有效性，它不仅能够早期、经常地识别和阻止恶意代码，而且还可以说明SentinelOne在解决数据过载问题方面所做的努力，"技术"和"战术"是数据精度的关键指标1技巧：这是相关的和可操作的数据的缩影-完全上下文化的数据点，这些数据点讲述了一个故事，指出了发生了什么，为什么发生了，最关键的是，它是如何发生的2策略：这是层次结构中的下一级，表示技术类别，这些技术告诉我们参与者实现最终目标的步骤（持久性、数据出口、规避等）。简而言之，"什么"和"为什么"。这两种检测分类是MITRE框架的核心，在创造环境方面具有最高价值。根据MITRE公布的结果，在第二轮评估的所有参与者中，SentinelOne记录了最多的"技术"和"战术"奖项套用Gartner Endpoint Protection分析师保罗·韦伯（Paul Webber）的话来说，当今的安全产品必须将微弱的信号转化为强大的检测能力。这正是SentinelOne所做的，通过MITRE的ATT&CK评估证明了这一点。SentinelOne作为一个独立的产品，可以有效地识别和放置攻击中的可操作上下文正如我们在周一的MITRE primer文章中所解释的，相关性是应用于技术和战术检测的检测修改器之一。相关性表示在数据之间建立关系的行为，以机器速度完成，因此分析师不必手动将数据缝合在一起并浪费宝贵的时间。SentinelOne拥有斜接附件第2轮中的大多数相关修饰符：防守方已经过了数据越多越好的阶段。相反，他们需要相关数据的上下文。我们相信SOC的理想状态是将所有数据预先编入索引并分配给可操作故事线警报的清晰故事。整个MITRE ATT&CK第2轮测试电池在SentinelOne控制台中捕获，只有11个警报我们的客户不想要3000块自己动手的遥测拼图，他们也不希望每次攻击都有135个非文本化的警报。他们想要的是将拼图拼图组装成一个整洁的包，这样分析师们就很容易一眼就看出发生了什么我们的数据摄取功能捕获数据，再加上我们的专利人工智能引擎，将故事情节与生动的图片和丰富的背景结合起来，ddos攻击检测与防御，以机器速度应用自主行动。三。好的产品可以解决复杂的问题–服务应该总是可选的对于一个额外的完整性层，或者对于那些寻求外包SOC操作的人，SentinelOne提供可选的警戒管理检测和响应（MDR）服务。与SentinelOne相关的MITRE数据清楚地证明，我们的技术与我们的全球MDR专家分析师相结合，防御cc的软件，提供了全面的绝对覆盖创纪录的业绩加入我们的MITRE网络研讨会，看看哨兵龙战胜APT29的表现。现在就看总结一下与Forrester的EDR Wave分析师Josh Zelonis的谈话，买家应该询问并确定MDR是该产品的支柱，还是增值产品MITRE的ATT&CK数据显示，SentinelOne的检测水平最高，高防cdn代理，完全由产品提供（没有任何MDR服务）；此外，运行SentinelOne产品的Vigilance MDR services的MSSP检测最多。这是可能的，因为我们的代理捕捉到更丰富的事件/信号集，我们的4级警戒忍者可以分析这些事件/信号，以识别目标攻击。SentinelOne Vigilance MDR客户的体验应该是一封主动式电子邮件或电话（取决于客户偏好），其中包括11个警报的更新信息。即使是在产品不采取任何行动（即MITRE ATT&CK模拟）的仅检测策略中，警惕性也可以阻止和补救攻击不到20分钟值得注意的是，SentinelOne的平台独立于MSSP评分运行，证明了该工具是独立的，但如果需要额外的深度，工具+MDR提供了一个深度解决方案。MITRE 2020年成果分析如果CISO和SecOps的专业人士能够做到以下几点，cc防御是什么意思呢，那么优秀的产品和安全产品将吸引他们的目光：把工作从平凡的脑残活动转移到更有趣的活动上与安全堆栈的其他部分集成自动化更多的工作实时击败对手包括用于自动清理和恢复的细粒度修复功能包括预防措施，以处理花园品种的高级攻击SentinelOne在MITRE ATT&CK第二轮的表现有力地说明了可视性和人工智能结合在一起可以创建一个强大的EDR解决方案。从模拟的数据输出中可以看出，SentinelOne擅长检测，更重要的是，它能自动映射和关联数据到完全索引和相关的故事中。SentinelOne的故事线技术由我们的专利行为人工智能（AI）驱动，使我们与市场上的其他供应商脱颖而出与我们交谈的每一位CISO都告诉我们，他们从根本上寻求的价值是一种不仅能看到更多，而且能做更多事情的解决方案，而不会增加摩擦、复杂性或成本。网络攻击者行动迅速，尤其是先进的对手。有了SentinelOne，CISO和他们的团队就可以信任一个性能卓越、云计算的EDR平台，该平台在以机器速度理解、组织和操作数据的产品驱动方法方面领先一步。了解更多关于哨兵在米特ATT&CK AP的表现