26. 【題組 3】情境如附圖所示。鑑於近期持續不斷的 APT 攻擊， 資安營運中心(Security Operations Center, SOC)在利用網路威脅情資(Cyber Threat Intelligence, CTI)時，對於採用 MITRE ATT&CK 這類框架的主要價值，下列描述何者最為正確？
(A) MITRE ATT&CK 提供詳盡的特定攻擊者 IP 位址和網 域名稱列表，便於 SOC 立即封鎖，是唯一實用的情資來源
(B) MITRE ATT&CK 能夠自動且絕對地將攻擊歸因於特定 國家級行為者，簡化歸因過程，減少分析師工作量
(C) MITRE ATT&CK 的主要目的是為 SOC 提供自動化的威脅偵測工具，取代人工分析師的判斷，達到全面自 動化
(D) MITRE ATT&CK 提供一套基於真實世界觀察的威脅者 戰術、技術與程序(TTPs)知識庫，有助於 SOC 理解威脅者行為模式

題幹重點

• APT 持續攻擊

• SOC 使用 CTI (Cyber Threat Intelligence)

• 問 MITRE ATT&CK 框架的 主要價值

選項解析

(A) 提供 IP/Domain 黑名單，唯一情資來源
❌ 錯誤。MITRE ATT&CK 不是 IOC（Indicator of Compromise）清單，而是 戰術、技術、程序 (TTPs) 知識庫。IP/Domain 屬於 IOC，不是 ATT&CK 的核心。

(B) 自動將攻擊歸因國家級行為者
❌ 錯誤。ATT&CK 不會自動歸因，也無法「絕對」判定攻擊來源，它只是提供 TTP mapping 的架構。

(C) 取代分析師，全面自動化偵測
❌ 錯誤。ATT&CK 是框架與知識庫，不是自動化偵測工具，更不可能取代分析師。

(D) 提供基於真實世界觀察的 TTPs 知識庫，幫助 SOC 理解威脅者行為模式
✅ 正確。這正是 MITRE ATT&CK 的核心價值 → 組織化的對手戰術技術模型，用於威脅狩獵、偵測 gap 分析、紅藍隊演練等。

✅ 正確答案：(D)

? 小記憶法：

• IOC（IP/Domain/Hash）→ 短命，黑名單

• TTP（戰術/技術/程序）→ 持久，MITRE ATT&CK