次の方法で共有

MITRE ATT&CK® フレームワークのセキュリティ カバレッジについて

  • [アーティクル]

MITRE ATT&CK は、攻撃者がよく使う戦術と手法の、一般公開されているナレッジ ベースであり、実際の観察によって作成および維持されています。 多くの組織は、MITRE ATT&CK ナレッジ ベースを使用して、環境内のセキュリティ状態を確認するために使用される特定の脅威モデルと手法を開発しています。

Microsoft Sentinel は、取り込んだデータを分析することにより、脅威を検出し、調査を支援するだけでなく、組織のセキュリティの状態について、その性質とカバレッジを視覚化します。

この記事では、MITRE ATT&CK® フレームワークの戦術と手法に基づいて組織のセキュリティ カバレッジを把握するために、Microsoft Sentinel の MITRE ページを使用して、ご使用のワークスペース内で既にアクティブになっている検出と構成できる検出を確認する方法について説明します。

重要

Microsoft Sentinel の MITRE ページは現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

MITRE ATT&CK フレームワークのバージョン

Microsoft Sentinel は現在、MITRE ATT&CK フレームワーク バージョン 13 に対応しています。

現在の MITRE カバレッジを確認する

Microsoft Sentinel の [脅威の管理] で、[MITRE ATTA&CK (プレビュー)] を選択します。 既定では、現在アクティブになっているスケジュール済みクエリ ルールと凖リアルタイム (NRT) ルールの両方がカバレッジ マトリックスに表示されます。

アクティブなインジケーターとシミュレートされたインジケーターの両方が選択された MITRE カバレッジ ページのスクリーンショット。

  • 右上の凡例を使用すると、特定の手法に関してワークスペース内で現在アクティブになっている検出の数がわかります。

  • 左上の検索バーを使用し、特定の手法をその名前または ID でマトリックスから検索し、選択した手法に関する組織のセキュリティの状態を確認します。

  • マトリックス内で特定の手法を選択すると、右側に詳細が表示されます。 そこからリンクを使用して、次のいずれかの場所に移動します。

    • MITRE ATT&CK フレームワーク ナレッジ ベースで選択した手法の詳細が必要な場合は、[詳細] 領域で、[手法の完全な詳細を表示] を選択します。

    • ペイン内で下スクロールし、任意のアクティブな項目へのリンクを選択して、Microsoft Sentinel 内の関連する領域にジャンプします。

    たとえば、[ハンティング クエリ] を選択して、[ハンティング] ページに移動します。 ここには、選択した手法に関連付けられていて、ワークスペースで構成することができるハンティング クエリの一覧がフィルター処理されて表示されます。

利用可能な検出によって想定されるカバレッジをシミュレートする

MITRE カバレッジ マトリックスにおける "シミュレート" されたカバレッジとは、利用可能ではあるものの使用中の Microsoft Sentinel ワークスペース内では現在未構成な検出のことを指します。 シミュレートされたカバレッジを見ると、提供されているすべての検出を構成した場合の組織に推定されるセキュリティの状態がわかります。

Microsoft Sentinel の [脅威の管理] で、[MITRE ATTA&CK (プレビュー)] を選択した後、[シミュレート] メニュー内の項目を選択して、考えられる組織のセキュリティ状態をシミュレートします。

そこから、特定の手法のシミュレートされたカバレッジを表示する場合と同様に、ページの要素を使用します。

分析ルールとインシデントで MITRE ATT&CK フレームワークを使用する

MITRE の手法を適用したスケジュール済みルールを Microsoft Sentinel ワークスペースで定期的に実行することにより、MITRE カバレッジ マトリックスに示される組織のセキュリティの状態が向上します。

  • 分析ルール:

    • 分析ルールを構成するときは、ルールに適用する特定の MITRE 手法を選択します。
    • 分析ルールを検索するときは、ルールをフィルター処理して手法ごとに表示すると、ルールが見つけやすくなります。

    詳細については、「難しい設定なしで脅威を検出する」および「脅威を検出するためのカスタム分析規則を作成する」を参照してください。

  • インシデント:

    MITRE 手法が構成されたルールによって表面化されるアラートのインシデントが作成されると、その手法もインシデントに追加されます。

    詳細については、「Microsoft Azure Sentinel でインシデントを調査する」を参照してください。

  • 脅威ハンティング:

    • 新しいハンティング クエリを作成するときは、クエリに適用する具体的な戦術と手法を選択します。
    • アクティブなハンティング クエリを検索するときは、グリッドの上のリストから項目を選択し、クエリをフィルタリングして戦術別に表示します。 クエリを選択すると、右側に戦術と手法の詳細が表示されます。
    • ブックマークを作成するときは、ハンティング クエリから継承される手法のマッピングを使用するか、独自のマッピングを作成します。

    詳細については、「Microsoft Sentinel を使用して脅威を追求する」および「Microsoft Sentinel によるハンティング中にデータを追跡する」を参照してください。

関連するコンテンツ

詳細については、以下を参照してください: