Каждая техника ATT&CK прочитана с трёх сторон сразу: чем атакуют (команда), какую телеметрию это поднимает (источник + Event ID), как это выявлять (правило под выбранный SIEM). Красный и синий — не два разных мира, а один процесс. Один файл, офлайн, без зависимостей.
crit немедленная компрометация или необратимый урон: дамп LSASS/NTDS, DCSync, PsExec, ransomware. Реагировать сразу.
high серьёзная стадия атаки: персистентность, эскалация, отключение защиты, эксфильтрация. Триаж в приоритете.
med разведка и шумные техники: ценны прежде всего в корреляции и как ранние индикаторы, а не поодиночке.
Atomic срабатывает на одном событии/совпадении — заводится правилом «как есть».
Behavioral требует порога, корреляции или baseline (окно, счётчик, аномалия) — нужен correlation-движок, пороги тюнингуй под свою среду.
Покрыто — источник логов есть, правило заведено и проверено · Частично — частично (нет нужного аудита, правило не протестировано) · Не покрыто — детекта нет. Оценка хранится локально в браузере.