Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK®
MITRE ATT&CK jest publicznie dostępnym baza wiedzy taktyki i technik, które są powszechnie używane przez osoby atakujące i są tworzone i utrzymywane przez obserwowanie rzeczywistych obserwacji. Wiele organizacji używa baza wiedzy MITRE ATT&CK do opracowywania określonych modeli zagrożeń i metodologii używanych do weryfikowania stanu zabezpieczeń w swoich środowiskach.
Usługa Microsoft Sentinel analizuje pozyskane dane, nie tylko wykrywa zagrożenia i pomaga badać, ale także wizualizować charakter i pokrycie stanu zabezpieczeń organizacji.
W tym artykule opisano sposób używania strony MITRE w usłudze Microsoft Sentinel do wyświetlania wykryć, które są już aktywne w obszarze roboczym, oraz tych, które są dostępne do skonfigurowania, w celu zrozumienia pokrycia zabezpieczeń organizacji na podstawie taktyki i technik z platformy MITRE ATT&CK®.
Ważne
Strona MITRE w usłudze Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
MITRE ATT&CK framework version (Wersja struktury MITRE ATT&CK)
Usługa Microsoft Sentinel jest obecnie zgodna ze strukturą MITRE ATT&CK w wersji 13.
Wyświetlanie bieżącego pokrycia MITRE
W usłudze Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję MITRE ATTA&CK (wersja zapoznawcza). Domyślnie zarówno obecnie aktywne zaplanowane zapytanie, jak i reguły niemal w czasie rzeczywistym (NRT) są wskazywane w macierzy pokrycia.
Użyj legendy w prawym górnym rogu , aby dowiedzieć się, ile wykryć jest obecnie aktywnych w obszarze roboczym dla określonej techniki.
Użyj paska wyszukiwania w lewym górnym rogu, aby wyszukać określoną technikę w macierzy przy użyciu nazwy techniki lub identyfikatora, aby wyświetlić stan zabezpieczeń organizacji dla wybranej techniki.
Wybierz określoną technikę w macierzy, aby wyświetlić więcej szczegółów po prawej stronie. W tym miejscu użyj linków, aby przejść do dowolnej z następujących lokalizacji:
W obszarze Opis wybierz pozycję Wyświetl szczegóły pełnej techniki ... aby uzyskać więcej informacji na temat wybranej techniki w baza wiedzy platformy MITRE ATT&CK.
Przewiń w dół w okienku i wybierz linki do dowolnego aktywnego elementu, aby przejść do odpowiedniego obszaru w usłudze Microsoft Sentinel.
Na przykład wybierz pozycję Zapytania wyszukiwania zagrożeń , aby przejść do strony Wyszukiwanie zagrożeń . W tym miejscu zostanie wyświetlona filtrowana lista zapytań wyszukiwania zagrożeń skojarzonych z wybraną techniką i dostępna do skonfigurowania w obszarze roboczym.
Symulowanie możliwego pokrycia za pomocą dostępnych wykryć
W macierzy pokrycia MITRE symulowane pokrycie odnosi się do dostępnych wykryć, ale nie jest obecnie skonfigurowany w obszarze roboczym usługi Microsoft Sentinel. Wyświetl symulowane pokrycie, aby zrozumieć możliwy stan zabezpieczeń organizacji, czy skonfigurowano wszystkie dostępne dla Ciebie wykrycia.
W usłudze Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję MITRE ATTA&CK (wersja zapoznawcza),a następnie wybierz elementy w menu Symulowane , aby symulować możliwy stan zabezpieczeń organizacji.
W tym miejscu użyj elementów strony, tak jak w przeciwnym razie, aby wyświetlić symulowane pokrycie dla określonej techniki.
Używanie struktury MITRE ATT&CK w regułach analizy i zdarzeniach
Zaplanowana reguła z technikami MITRE stosowanymi regularnie w obszarze roboczym usługi Microsoft Sentinel zwiększa stan zabezpieczeń wyświetlany dla organizacji w macierzy pokrycia MITRE.
Reguły analizy:
- Podczas konfigurowania reguł analizy wybierz określone techniki MITRE, które mają być stosowane do reguły.
- Podczas wyszukiwania reguł analizy przefiltruj reguły wyświetlane przy użyciu techniki, aby szybciej znaleźć reguły.
Aby uzyskać więcej informacji, zobacz Wykrywanie zagrożeń poza urządzeniem i Tworzenie niestandardowych reguł analizy w celu wykrywania zagrożeń.
Zdarzenia:
Gdy zdarzenia są tworzone dla alertów, które są udostępniane przez reguły za pomocą skonfigurowanych technik MITRE, techniki są również dodawane do zdarzeń.
Aby uzyskać więcej informacji, zobacz Badanie zdarzeń za pomocą usługi Microsoft Sentinel.
Wyszukiwanie zagrożeń:
- Podczas tworzenia nowego zapytania wyszukiwania zagrożeń wybierz określoną taktykę i techniki, które mają być stosowane do zapytania.
- Podczas wyszukiwania aktywnych zapytań wyszukiwania przefiltruj zapytania wyświetlane według taktyki, wybierając element z listy powyżej siatki. Wybierz zapytanie, aby wyświetlić szczegóły taktyki i techniki po prawej stronie.
- Podczas tworzenia zakładek użyj mapowania techniki dziedziczonej z zapytania wyszukiwania zagrożeń lub utwórz własne mapowanie.
Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel i Śledzenie danych podczas wyszukiwania zagrożeń za pomocą usługi Microsoft Sentinel.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: