Udostępnij za pośrednictwem


Omówienie pokrycia zabezpieczeń przez platformę MITRE ATT&CK®

MITRE ATT&CK jest publicznie dostępnym baza wiedzy taktyki i technik, które są powszechnie używane przez osoby atakujące i są tworzone i utrzymywane przez obserwowanie rzeczywistych obserwacji. Wiele organizacji używa baza wiedzy MITRE ATT&CK do opracowywania określonych modeli zagrożeń i metodologii używanych do weryfikowania stanu zabezpieczeń w swoich środowiskach.

Usługa Microsoft Sentinel analizuje pozyskane dane, nie tylko wykrywa zagrożenia i pomaga badać, ale także wizualizować charakter i pokrycie stanu zabezpieczeń organizacji.

W tym artykule opisano sposób używania strony MITRE w usłudze Microsoft Sentinel do wyświetlania wykryć, które są już aktywne w obszarze roboczym, oraz tych, które są dostępne do skonfigurowania, w celu zrozumienia pokrycia zabezpieczeń organizacji na podstawie taktyki i technik z platformy MITRE ATT&CK®.

Ważne

Strona MITRE w usłudze Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

MITRE ATT&CK framework version (Wersja struktury MITRE ATT&CK)

Usługa Microsoft Sentinel jest obecnie zgodna ze strukturą MITRE ATT&CK w wersji 13.

Wyświetlanie bieżącego pokrycia MITRE

W usłudze Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję MITRE ATTA&CK (wersja zapoznawcza). Domyślnie zarówno obecnie aktywne zaplanowane zapytanie, jak i reguły niemal w czasie rzeczywistym (NRT) są wskazywane w macierzy pokrycia.

Zrzut ekranu przedstawiający stronę pokrycia MITRE z wybranymi aktywnymi i symulowanymi wskaźnikami.

  • Użyj legendy w prawym górnym rogu , aby dowiedzieć się, ile wykryć jest obecnie aktywnych w obszarze roboczym dla określonej techniki.

  • Użyj paska wyszukiwania w lewym górnym rogu, aby wyszukać określoną technikę w macierzy przy użyciu nazwy techniki lub identyfikatora, aby wyświetlić stan zabezpieczeń organizacji dla wybranej techniki.

  • Wybierz określoną technikę w macierzy, aby wyświetlić więcej szczegółów po prawej stronie. W tym miejscu użyj linków, aby przejść do dowolnej z następujących lokalizacji:

    • W obszarze Opis wybierz pozycję Wyświetl szczegóły pełnej techniki ... aby uzyskać więcej informacji na temat wybranej techniki w baza wiedzy platformy MITRE ATT&CK.

    • Przewiń w dół w okienku i wybierz linki do dowolnego aktywnego elementu, aby przejść do odpowiedniego obszaru w usłudze Microsoft Sentinel.

    Na przykład wybierz pozycję Zapytania wyszukiwania zagrożeń , aby przejść do strony Wyszukiwanie zagrożeń . W tym miejscu zostanie wyświetlona filtrowana lista zapytań wyszukiwania zagrożeń skojarzonych z wybraną techniką i dostępna do skonfigurowania w obszarze roboczym.

Symulowanie możliwego pokrycia za pomocą dostępnych wykryć

W macierzy pokrycia MITRE symulowane pokrycie odnosi się do dostępnych wykryć, ale nie jest obecnie skonfigurowany w obszarze roboczym usługi Microsoft Sentinel. Wyświetl symulowane pokrycie, aby zrozumieć możliwy stan zabezpieczeń organizacji, czy skonfigurowano wszystkie dostępne dla Ciebie wykrycia.

W usłudze Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję MITRE ATTA&CK (wersja zapoznawcza),a następnie wybierz elementy w menu Symulowane , aby symulować możliwy stan zabezpieczeń organizacji.

W tym miejscu użyj elementów strony, tak jak w przeciwnym razie, aby wyświetlić symulowane pokrycie dla określonej techniki.

Używanie struktury MITRE ATT&CK w regułach analizy i zdarzeniach

Zaplanowana reguła z technikami MITRE stosowanymi regularnie w obszarze roboczym usługi Microsoft Sentinel zwiększa stan zabezpieczeń wyświetlany dla organizacji w macierzy pokrycia MITRE.

Aby uzyskać więcej informacji, zobacz: