فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK®

ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

MITRE ATT&CK هو قاعدة معارف يمكن الوصول إليه بشكل عام من التكتيكات والتقنيات التي يستخدمها المهاجمون بشكل شائع، ويتم إنشاؤها وصيانتها من خلال مراقبة الملاحظات في العالم الحقيقي. تستخدم العديد من المؤسسات&MITRE ATT قاعدة معارف CK لتطوير نماذج ومنهجيات تهديد محددة تستخدم للتحقق من حالة الأمان في بيئاتها.

يحلل Microsoft Sentinel البيانات التي تم استيعابها، ليس فقط للكشف عن التهديدات ومساعدتك في التحقيق، ولكن أيضا لتصور طبيعة الحالة الأمنية لمؤسستك وتغطيتها.

توضح هذه المقالة كيفية استخدام صفحة MITRE في Microsoft Sentinel لعرض قواعد التحليلات (الاكتشافات) النشطة بالفعل في مساحة العمل الخاصة بك، والاكتشافات المتاحة لك لتكوينها، لفهم التغطية الأمنية لمؤسستك، استنادا إلى التكتيكات والتقنيات من إطار عمل MITRE ATT&CK®.

هام

صفحة MITRE في Microsoft Sentinel قيد المعاينة حاليا. تتضمن الشروط التكميلية Azure Preview الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك التي لم يتم إصدارها بعد في التوفر العام.

المتطلبات الأساسية

قبل أن تتمكن من عرض تغطية MITRE لمؤسستك في Microsoft Sentinel، تأكد من أن لديك المتطلبات الأساسية التالية:

مثيل Microsoft Sentinel نشط.
الأذونات اللازمة لعرض المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع الأدوار والأذونات في Microsoft Sentinel.
موصلات البيانات المكونة لاستيعاب بيانات الأمان ذات الصلة في Microsoft Sentinel. لمزيد من المعلومات، راجع Microsoft Sentinel موصلات البيانات.
تم إعداد قواعد الاستعلام المجدولة النشطة وقواعد الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel. لمزيد من المعلومات، راجع الكشف عن التهديدات في Microsoft Sentinel.
الإلمام بإطار عمل MITRE ATT&CK وتكتيكاته وتقنياته.

إصدار إطار عمل MITRE ATT&CK

تتم محاذاة Microsoft Sentinel حاليا مع إطار عمل MITRE ATT&CK، الإصدار 18.

عرض تغطية MITRE الحالية

بشكل افتراضي، تتم الإشارة إلى كل من الاستعلام المجدول النشط حاليا وقواعد الوقت الحقيقي القريب (NRT) في مصفوفة التغطية.

قم بأحد الإجراءات التالية، اعتمادا على المدخل الذي تستخدمه:
- مدخل Defender
- مدخل Azure
في مدخل Defender، حدد Microsoft Sentinel > إدارة > التهديدات MITRE ATT&CK.

لتصفية الصفحة حسب سيناريو تهديد معين، قم بتبديل الخيار عرض MITRE حسب سيناريو التهديد ، ثم حدد سيناريو تهديد من القائمة المنسدلة. يتم تحديث الصفحة وفقا لذلك. على سبيل المثال:

في مدخل Azure، ضمن Threat management، حدد MITRE ATT&CK (معاينة).
استخدم أي من الطرق التالية:
- استخدم وسيلة الإيضاح لفهم عدد عمليات الكشف النشطة حاليا في مساحة العمل الخاصة بك لتقنية معينة.
- استخدم شريط البحث للبحث عن تقنية معينة في المصفوفة، باستخدام اسم التقنية أو المعرف، لعرض حالة أمان مؤسستك للتقنية المحددة.
- حدد تقنية معينة في المصفوفة لعرض مزيد من التفاصيل في جزء التفاصيل. هناك، استخدم الارتباطات للانتقال إلى أي من المواقع التالية:
  - في منطقة الوصف، حدد عرض تفاصيل التقنية الكاملة ... لمزيد من المعلومات حول التقنية المحددة في إطار عمل MITRE ATT&CK قاعدة معارف.
  - مرر لأسفل في الجزء وحدد ارتباطات إلى أي من العناصر النشطة للانتقال إلى المنطقة ذات الصلة في Microsoft Sentinel.
  على سبيل المثال، حدد استعلامات التتبع للانتقال إلى صفحة التتبع . هناك، سترى قائمة تمت تصفيتها لاستعلامات التتبع المقترنة بالتقنية المحددة، ومتاحة لك للتكوين في مساحة العمل الخاصة بك.
في مدخل Defender، يعرض جزء التفاصيل أيضا تفاصيل التغطية الموصى بها، بما في ذلك نسبة الاكتشافات النشطة وخدمات الأمان (المنتجات) من جميع الاكتشافات والخدمات الموصى بها للتقنية المحددة.

محاكاة التغطية المحتملة مع الاكتشافات المتاحة

في مصفوفة تغطية MITRE، تشير التغطية المحاكية إلى الاكتشافات المتوفرة، ولكن لم يتم تكوينها حاليا في مساحة عمل Microsoft Sentinel. اعرض تغطية المحاكاة لفهم حالة الأمان المحتملة لمؤسستك، هل كنت تريد تكوين جميع عمليات الكشف المتاحة لك.

في Microsoft Sentinel، ضمن إدارة التهديدات، حدد MITRE ATTA&CK (معاينة)، ثم حدد العناصر في قائمة قواعد المحاكاة لمحاكاة حالة الأمان المحتملة لمؤسستك.
من هناك، استخدم عناصر الصفحة كما تفعل بخلاف ذلك لعرض تغطية المحاكاة لتقنية معينة.

استخدام إطار عمل MITRE ATT&CK في قواعد التحليلات والحوادث

يؤدي وجود قاعدة مجدولة مع تقنيات MITRE المطبقة بشكل منتظم في مساحة عمل Microsoft Sentinel إلى تحسين حالة الأمان الموضحة لمؤسستك في مصفوفة تغطية MITRE.

قواعد التحليلات:
- عند تكوين قواعد التحليلات، حدد تقنيات MITRE محددة لتطبيقها على القاعدة الخاصة بك.
- عند البحث عن قواعد التحليلات، قم بتصفية القواعد المعروضة بواسطة التقنية للعثور على القواعد الخاصة بك بسرعة أكبر.
لمزيد من المعلومات، راجع الكشف عن التهديدات الجاهزة وإنشاء قواعد تحليلات مخصصة للكشف عن التهديدات.
الحوادث:

عند إنشاء الحوادث للتنبيهات التي تظهر بواسطة قواعد مع تكوين تقنيات MITRE، تتم أيضا إضافة التقنيات إلى الحوادث.

لمزيد من المعلومات، راجع التحقيق في الحوادث باستخدام Microsoft Sentinel. إذا تم إلحاق Microsoft Sentinel بمدخل Defender، فتحقق من الحوادث في مدخل Microsoft Defender بدلا من ذلك.
تتبع التهديدات:
- عند إنشاء استعلام تتبع جديد، حدد التكتيكات والتقنيات المحددة لتطبيقها على استعلامك.
- عند البحث عن استعلامات التتبع النشطة، قم بتصفية الاستعلامات المعروضة بواسطة التكتيكات عن طريق تحديد عنصر من القائمة أعلى الشبكة. حدد استعلاما لمشاهدة تفاصيل التكتيك والتقنية في جزء التفاصيل على الجانب
- عند إنشاء إشارات مرجعية، إما استخدام تعيين التقنية الموروثة من استعلام التتبع، أو إنشاء التعيين الخاص بك.
لمزيد من المعلومات، راجع البحث عن التهديدات باستخدام Microsoft Sentinel وتتبع البيانات أثناء التتبع باستخدام Microsoft Sentinel.

لمزيد من المعلومات، اطلع على:

الملاحظات

هل كانت هذه الصفحة مفيدة؟

Last updated on 2026-04-23