MITRE ATT&CK® フレームワークのセキュリティ カバレッジについて
MITRE ATT&CK は、攻撃者がよく使う戦術と手法の、一般公開されているナレッジ ベースであり、実際の観察によって作成および維持されています。 多くの組織は、MITRE ATT&CK ナレッジ ベースを使用して、環境内のセキュリティ状態を確認するために使用される特定の脅威モデルと手法を開発しています。
Microsoft Sentinel は、取り込んだデータを分析することにより、脅威を検出し、調査を支援するだけでなく、組織のセキュリティの状態について、その性質とカバレッジを視覚化します。
この記事では、MITRE ATT&CK® フレームワークの戦術と手法に基づいて組織のセキュリティ カバレッジを把握するために、Microsoft Sentinel の MITRE ページを使用して、ご使用のワークスペース内で既にアクティブになっている検出と構成できる検出を確認する方法について説明します。
重要
Microsoft Sentinel の MITRE ページは現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
前提条件
Microsoft Sentinel で組織の MITRE カバレッジを調べる前に、次のものがあることを確認します。
- アクティブな Microsoft Sentinel インスタンス。
- Microsoft Sentinel でコンテンツを表示するために必要なアクセス許可。 詳細については、「Microsoft Sentinel のロールとアクセス許可」を参照してください。
- 関連するセキュリティ データを Microsoft Sentinel に取り込むように構成されたデータ コネクタ。 詳しくは、「Microsoft Sentinel データ コネクタ」をご覧ください。
- Microsoft Sentinel で設定されたアクティブなスケジュール済みクエリ ルールと準リアルタイム (NRT) ルール。 詳しくは、「Microsoft Sentinel での脅威検出」をご覧ください。
- MITRE ATT&CK フレームワークおよびその戦術と手法に関する知識。
MITRE ATT&CK フレームワークのバージョン
Microsoft Sentinel は現在、MITRE ATT&CK フレームワーク バージョン 13 に対応しています。
現在の MITRE カバレッジを確認する
Microsoft Sentinel の [脅威の管理] で、[MITRE ATTA&CK (プレビュー)] を選択します。 既定では、現在アクティブになっているスケジュール済みクエリ ルールと凖リアルタイム (NRT) ルールの両方がカバレッジ マトリックスに表示されます。
次のいずれかを実行します。
凡例を使用して、特定の手法に関してワークスペース内で現在アクティブになっている検出の数を把握します。
検索バーを使用して、マトリックスで特定の手法をその名前または ID で検索し、選んだ手法に関する組織のセキュリティ状態を確認します。
マトリックスで特定の手法を選択し、詳細ペインで詳細を確認します。 そこからリンクを使用して、次のいずれかの場所に移動します。
MITRE ATT&CK フレームワーク ナレッジ ベースで選択した手法の詳細が必要な場合は、[詳細] 領域で、[手法の完全な詳細を表示] を選択します。
ペイン内で下スクロールし、任意のアクティブな項目へのリンクを選択して、Microsoft Sentinel 内の関連する領域にジャンプします。
たとえば、[ハンティング クエリ] を選択して、[ハンティング] ページに移動します。 ここには、選んだ手法に関連付けられていて、ワークスペースで構成できるハンティング クエリの、フィルター処理された一覧が表示されます。
利用可能な検出によって想定されるカバレッジをシミュレートする
MITRE カバレッジ マトリックスにおける "シミュレート" されたカバレッジとは、利用可能ではあるものの使用中の Microsoft Sentinel ワークスペース内では現在未構成な検出のことを指します。 シミュレートされたカバレッジを見ると、提供されているすべての検出を構成した場合の組織に推定されるセキュリティの状態がわかります。
Microsoft Sentinel の [脅威の管理] で、[MITRE ATTA&CK (プレビュー)] を選んでから、[シミュレートされるルール] メニューで項目を選んで、組織で可能性のあるセキュリティ状態をシミュレートします。
そこから、特定の手法のシミュレートされたカバレッジを表示する場合と同様に、ページの要素を使用します。
分析ルールとインシデントで MITRE ATT&CK フレームワークを使用する
MITRE の手法を適用したスケジュール済みルールを Microsoft Sentinel ワークスペースで定期的に実行することにより、MITRE カバレッジ マトリックスに示される組織のセキュリティの状態が向上します。
分析ルール:
- 分析ルールを構成するときは、ルールに適用する特定の MITRE 手法を選択します。
- 分析ルールを検索するときは、ルールをフィルター処理して手法ごとに表示すると、ルールが見つけやすくなります。
詳細については、「難しい設定なしで脅威を検出する」および「脅威を検出するためのカスタム分析規則を作成する」を参照してください。
インシデント:
MITRE 手法が構成されたルールによって表面化されるアラートのインシデントが作成されると、その手法もインシデントに追加されます。
詳細については、「Microsoft Azure Sentinel でインシデントを調査する」を参照してください。 ワークスペースが Microsoft の統合セキュリティ オペレーション (SecOps) プラットフォームにオンボードされている場合は、代わりに Microsoft Defender ポータルでインシデントを調査します。
脅威の追求:
- 新しいハンティング クエリを作成するときは、クエリに適用する具体的な戦術と手法を選択します。
- アクティブなハンティング クエリを検索するときは、グリッドの上のリストから項目を選択し、クエリをフィルタリングして戦術別に表示します。 クエリを選択すると、右側に戦術と手法の詳細が表示されます。
- ブックマークを作成するときは、ハンティング クエリから継承される手法のマッピングを使用するか、独自のマッピングを作成します。
詳細については、「Microsoft Sentinel を使用して脅威を追求する」および「Microsoft Sentinel によるハンティング中にデータを追跡する」を参照してください。
関連するコンテンツ
詳細については、以下を参照してください: