# 마이터어택

{% hint style="info" %}
마이터 어택(MITRE ATT\&CK)은 실제 사이버 공격 행위를 기반으로 정리한\
공격 전술(Tactic)과 기술(Technique)의 지식 베이스입니다.

PLURA는 이를 기반으로 각 로그 이벤트를 분석하여\
공격자가 어떤 단계에서 어떤 행위를 수행했는지를 식별하고,\
탐지·차단된 이벤트를 TID(Technique ID) 단위로 분류하여 제공합니다.

이를 통해 사용자는 단순 탐지 여부를 넘어,\
해당 이벤트가 공격 흐름상 어떤 의미를 가지는지 함께 파악할 수 있습니다.
{% endhint %}

### 1. 탐지 페이지 

* 호스트보안 탐지 로그 중 마이터 어택 분류로 등록된 필터는 `마이터 어택` 전용 페이지에서 별도로 조회됩니다.
* TID 아이콘을 클릭하면 MITRE ATT\&CK 매트릭스의 해당 기술 페이지로 이동합니다.
* 사용자는 TID, 전술, 기술 정보를 통해 공격 유형과 진행 단계를 보다 직관적으로 확인할 수 있습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2F9KeKNRyT9jImpUVAsKzd%2F20251111_125833.png?alt=media&#x26;token=640b567e-48cf-4601-a7eb-6a403e262df6" alt=""><figcaption></figcaption></figure>

### **2. TID 기반 탐지 구조** <a href="#id-2" id="id-2"></a>

* 각 탐지 로그는 TID(Technique ID) 값과 함께 표시됩니다.
* TID는 MITRE ATT\&CK에서 정의한 공격 기술 식별자로, 탐지된 이벤트가 어떤 공격 기술에 해당하는지 보여 줍니다.
* 예시

  ◦ T1116 — 탐색: 시스템 네트워크 환경설정 검색\
  ◦ T1098 — 권한 유지: 계정 조작\
  ◦ T1223 — 명령 및 제어: 침입 도구 전송
* 다중 탐지 시에는 상단에 주요 TID가 함께 표시되어, 복합 공격 패턴을 보다 쉽게 분석할 수 있습니다.
* 여러 TID가 연속으로 나타나는 경우, 공격자의 행위가 단일 이벤트가 아니라 연계된 공격 흐름일 가능성을 판단하는 데 도움이 됩니다.

***

### **3. 상세 분석 및 이동 기능**

* 로그를 클릭하면 상단에는 TID별 요약 정보(전술, 기술, 플랫폼, 데이터 소스)가 표시되고, 하단에는 해당 이벤트의 필터명, 본문(msg), 프로그램명, 해시 정보(HASH) 등이 표시됩니다.
* `이동` 버튼을 통해 관련 로그(호스트 보안, 전체 로그, 시스템 관리)로 연동 이동할 수 있습니다.
* 시간 동기화 기능(`전체 로그 ±1s~±60s`)을 통해 동일 시점의 다른 이벤트와 연계 분석할 수 있습니다.

<figure><img src="https://3207796176-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fna9RRdnPjbRdAlosxaSV%2Fuploads%2FAeJPNpHGgRWrm385a6Cc%2F20251111_125921.png?alt=media&#x26;token=51f7b260-2c00-4fc8-ad68-8ee9f14f82a2" alt=""><figcaption></figcaption></figure>

***

### **4. AI 분석 연동** <a href="#id-4" id="id-4"></a>

* AI 버튼을 통해 탐지된 TID 이벤트를 자동 분석하여 공격 의도, 연관 기술, 전술 단계, 위협도 요약 정보를 제공합니다.
* 관리 메뉴의 `AI 프롬프트` > `필터탐지` > `마이터어택` 에서 분석 템플릿을 설정할 수 있습니다.

***

### **5. 알림 연동**

* 개인알림 메뉴에서 `마이터 어택 탐지/차단` 유형을 선택하여 메일 알림을 설정할 수 있습니다.

### 📖 PLURA-Blog

* [MITRE ATT\&CK 프레임워크에 대한 이해](https://blog.plura.io/ko/column/mitre-attack-framework-understanding/)
* [마이터 어택 관점에서 고급감사정책 활용](https://blog.plura.io/ko/column/mitre_attack_audit_policy/)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.plura.io/ko/v6/fn/comm/mitre.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.