MITRE ATT&CK® 프레임워크의 보안 적용 범위 이해
MITRE ATT&CK는 공격자가 일반적으로 사용하는 전술 및 기술에 대한 공개적으로 액세스할 수 있는 기술 자료이며 실제 관찰을 통해 만들어지고 유지 관리됩니다. 많은 조직에서 MITRE ATT&CK 기술 자료를 사용하여 환경의 보안 상태를 확인하는 데 사용되는 특정 위협 모델 및 방법론을 개발합니다.
Microsoft Sentinel은 수집된 데이터를 분석하여 위협을 감지하고 조사하는 데 도움을 줄 뿐만 아니라 조직 보안 상태의 특성과 범위를 시각화합니다.
이 문서에서는 Microsoft Sentinel의 MITRE 페이지를 사용하여 작업 영역에서 이미 활성화된 탐지 항목과 구성할 수 있는 탐지 항목을 살펴보고 MITRE ATT&CK® 프레임워크의 전술과 기술을 기반으로 조직의 보안 적용 범위를 이해하는 방법을 설명합니다.
Important
Microsoft Sentinel의 MITRE 페이지는 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
MITRE ATT&CK 프레임워크 버전
Microsoft Sentinel은 현재 MITRE ATT&CK 프레임워크 버전 13에 맞춰져 있습니다.
현재 MITRE 적용 범위 보기
Microsoft Sentinel의 위협 관리에서 MITRE ATTA&CK(미리 보기)를 선택합니다. 기본적으로 현재 활성 예약된 쿼리와 NRT(근 실시간) 규칙이 모두 적용 범위 매트릭스에 표시됩니다.
오른쪽 위에 있는 범례를 사용하여 특정 기술에 대해 작업 영역에서 현재 활성화된 탐지 수를 파악합니다.
왼쪽 위에 있는 검색 창을 사용하여 기술 이름 또는 ID를 사용하여 매트릭스에서 특정 기술을 검색하여 선택한 기술에 대한 조직의 보안 상태를 확인합니다.
매트릭스에서 특정 기술을 선택하여 오른쪽에서 자세한 내용을 확인합니다. 이 위치에서 링크를 사용하여 다음 위치 중 하나로 이동합니다.
설명 영역에서 MITRE ATT&CK 프레임워크 기술 자료 선택한 기술에 대한 자세한 내용을 보려면 전체 기술 세부 정보 보기를 선택합니다.
창에서 아래로 스크롤하고 활성 항목에 대한 링크를 선택하여 Microsoft Sentinel의 관련 영역으로 이동합니다.
예를 들어 헌팅 쿼리를 선택하여 헌팅 페이지로 이동합니다. 여기에는 선택한 기술과 연결되고 작업 영역에서 구성할 수 있는 헌팅 쿼리의 필터링된 목록이 표시됩니다.
사용 가능한 탐지로 가능한 적용 범위 시뮬레이트
MITRE 검사 매트릭스 에서 시뮬레이션된 범위는 사용 가능하지만 현재 Microsoft Sentinel 작업 영역에서 구성되지 않은 검색을 나타냅니다. 사용 가능한 모든 탐지를 구성한 경우 시뮬레이션된 적용 범위를 확인하여 조직의 가능한 보안 상태를 파악합니다.
Microsoft Sentinel의 위협 관리에서 MITRE ATTA&CK(미리 보기)를 선택한 다음, 시뮬레이트된 메뉴에서 항목을 선택하여 조직의 가능한 보안 상태를 시뮬레이션합니다.
여기에서 페이지의 요소를 다른 방법으로 사용하여 특정 기술에 대한 시뮬레이트된 범위를 봅니다.
분석 규칙 및 인시던트에서 MITRE ATT&CK 프레임워크 사용
Microsoft Sentinel 작업 영역에서 정기적으로 실행되는 MITRE 기술이 적용된 예약된 규칙을 사용하면 MITRE 적용 범위 매트릭스에서 조직에 대해 표시되는 보안 상태가 향상됩니다.
분석 규칙:
- 분석 규칙을 구성할 때 규칙에 적용할 특정 MITRE 기술을 선택합니다.
- 분석 규칙을 검색할 때 표시되는 규칙을 기술별로 필터링하여 규칙을 더 빠르게 찾습니다.
자세한 내용은 곧바로 위협 탐지 및 위협 탐지를 위한 사용자 지정 분석 규칙 만들기를 참조하세요.
인시던트:
MITRE 기술이 구성된 규칙에 의해 표시되는 경고에 대한 인시던트가 만들어지면 이 기술도 인시던트에 추가됩니다.
자세한 내용은 Microsoft Sentinel로 인시던트 조사를 참조하세요.
위협 헌팅:
- 새 헌팅 쿼리를 만들 때 쿼리에 적용할 특정 전술 및 기술을 선택합니다.
- 활성 헌팅 쿼리를 검색할 때 표 위의 목록에서 항목을 선택하여 전술별로 표시되는 쿼리를 필터링합니다. 쿼리를 선택하면 오른쪽에 전술 및 기술 세부 정보가 보입니다.
- 책갈피를 만들 때 헌팅 쿼리에서 상속된 기술 매핑을 사용하거나 고유한 매핑을 만듭니다.
자세한 내용은 Microsoft Sentinel로 위협 추적 및 Microsoft Sentinel을 사용하여 헌팅하는 동안 데이터 추적을 참조하세요.
관련 콘텐츠
자세한 내용은 다음을 참조하세요.