Delen via

Inzicht in de beveiligingsdekking door het MITRE ATT&CK-framework®

  • Artikel

MITRE ATT&CK is een openbaar toegankelijke knowledge base van tactieken en technieken die vaak worden gebruikt door aanvallers en wordt gemaakt en onderhouden door het observeren van echte waarnemingen. Veel organisaties gebruiken de MITRE ATT&CK-knowledge base om specifieke bedreigingsmodellen en methodologieën te ontwikkelen die worden gebruikt om de beveiligingsstatus in hun omgevingen te verifiëren.

Microsoft Sentinel analyseert opgenomen gegevens, niet alleen om bedreigingen te detecteren en u te helpen onderzoeken, maar ook om de aard en dekking van de beveiligingsstatus van uw organisatie te visualiseren.

In dit artikel wordt beschreven hoe u de MITRE-pagina in Microsoft Sentinel gebruikt om de detecties weer te geven die al actief zijn in uw werkruimte en de detecties die u kunt configureren, om inzicht te krijgen in de beveiligingsdekking van uw organisatie, op basis van de tactieken en technieken van het MITRE ATT&CK-framework®.

Belangrijk

De MITRE-pagina in Microsoft Sentinel is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

MITRE ATT&CK-frameworkversie

Microsoft Sentinel is momenteel afgestemd op het MITRE ATT&CK-framework, versie 13.

Huidige MITRE-dekking weergeven

Selecteer miTRE ATTA&CK (preview) in Microsoft Sentinel onder Bedreigingsbeheer. Standaard worden zowel actieve geplande queryregels als bijna realtimeregels (NRT) aangegeven in de dekkingsmatrix.

Schermopname van de MITRE-dekkingspagina met zowel actieve als gesimuleerde indicatoren geselecteerd.

  • Gebruik de legenda in de rechterbovenhoek om te begrijpen hoeveel detecties momenteel actief zijn in uw werkruimte voor specifieke technieken.

  • Gebruik de zoekbalk linksboven om te zoeken naar een specifieke techniek in de matrix, met behulp van de naam of id van de techniek, om de beveiligingsstatus van uw organisatie voor de geselecteerde techniek weer te geven.

  • Selecteer een specifieke techniek in de matrix om meer details aan de rechterkant weer te geven. Gebruik daar de koppelingen om naar een van de volgende locaties te gaan:

    • Selecteer in het gebied Beschrijving de optie Volledige techniekdetails weergeven ... voor meer informatie over de geselecteerde techniek in de knowledge base van het MITRE ATT&CK-framework.

    • Schuif omlaag in het deelvenster en selecteer koppelingen naar een van de actieve items om naar het relevante gebied in Microsoft Sentinel te gaan.

    Selecteer bijvoorbeeld Opsporingsquery's om naar de opsporingspagina te gaan. Daar ziet u een gefilterde lijst met de opsporingsquery's die zijn gekoppeld aan de geselecteerde techniek en die u kunt configureren in uw werkruimte.

Mogelijke dekking simuleren met beschikbare detecties

In de MITRE-dekkingsmatrix verwijst gesimuleerde dekking naar detecties die beschikbaar zijn, maar momenteel niet geconfigureerd in uw Microsoft Sentinel-werkruimte. Bekijk uw gesimuleerde dekking om inzicht te krijgen in de mogelijke beveiligingsstatus van uw organisatie, was het u om alle detecties te configureren die voor u beschikbaar zijn.

Selecteer in Microsoft Sentinel onder Bedreigingsbeheer MITRE ATTA&CK (preview) en selecteer vervolgens items in het menu Gesimuleerd om de mogelijke beveiligingsstatus van uw organisatie te simuleren.

Gebruik hier de elementen van de pagina zoals u anders de gesimuleerde dekking voor een specifieke techniek zou bekijken.

Het MITRE ATT&CK-framework gebruiken in analyseregels en incidenten

Als u een geplande regel met MITRE-technieken hebt toegepast die regelmatig worden uitgevoerd in uw Microsoft Sentinel-werkruimte, verbetert u de beveiligingsstatus die voor uw organisatie wordt weergegeven in de MITRE-dekkingsmatrix.

  • Analyseregels:

    • Wanneer u analyseregels configureert, selecteert u specifieke MITRE-technieken die u op uw regel wilt toepassen.
    • Bij het zoeken naar analyseregels filtert u de regels die worden weergegeven op techniek om uw regels sneller te vinden.

    Zie Bedreigingen out-of-the-box detecteren en aangepaste analyseregels maken om bedreigingen te detecteren voor meer informatie.

  • Incidenten:

    Wanneer incidenten worden gemaakt voor waarschuwingen die worden weergegeven door regels waarop MITRE-technieken zijn geconfigureerd, worden de technieken ook toegevoegd aan de incidenten.

    Zie Incidenten onderzoeken met Microsoft Sentinel voor meer informatie.

  • Opsporing van bedreigingen:

    • Wanneer u een nieuwe opsporingsquery maakt, selecteert u de specifieke tactieken en technieken die u op uw query wilt toepassen.
    • Bij het zoeken naar actieve opsporingsquery's filtert u de query's die worden weergegeven op tactieken door een item in de lijst boven het raster te selecteren. Selecteer een query om tactiek- en techniekdetails aan de rechterkant weer te geven.
    • Wanneer u bladwijzers maakt, gebruikt u de techniektoewijzing die is overgenomen van de opsporingsquery of maakt u uw eigen toewijzing.

    Zie Hunt for threats with Microsoft Sentinel and Keep track of data during hunting with Microsoft Sentinel (Zoeken naar bedreigingen met Microsoft Sentinel) voor meer informatie.

Gerelateerde inhoud

Zie voor meer informatie: