Vysvětlení pokrytí zabezpečení architekturou MITRE ATT&CK®
MITRE ATT&CK je veřejně přístupná znalostní báze taktiky a technik, které běžně používají útočníci, a vytváří se a udržuje pozorováním reálného světa. Mnoho organizací používá MITRE ATT&CK znalostní báze k vývoji konkrétních modelů a metodologií hrozeb, které se používají k ověření stavu zabezpečení ve svých prostředích.
Microsoft Sentinel analyzuje ingestované data, nejen kvůli detekci hrozeb a pomáhá vám prozkoumat, ale také vizualizovat povahu a pokrytí stavu zabezpečení vaší organizace.
Tento článek popisuje, jak pomocí stránky MITRE v Microsoft Sentinelu zobrazit detekce, které jsou již aktivní ve vašem pracovním prostoru, a ty, které jsou k dispozici ke konfiguraci, abyste porozuměli pokrytí zabezpečení vaší organizace na základě taktiky a technik z architektury MITRE ATT&CK®.
Důležité
Stránka MITRE v Microsoft Sentinelu je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Verze architektury MITRE ATT&CK
Microsoft Sentinel je aktuálně v souladu s architekturou MITRE ATT&CK verze 13.
Zobrazení aktuálního pokrytí MITRE
V Microsoft Sentinelu v části Správa hrozeb vyberte MITRE ATTA&CK (Preview). Ve výchozím nastavení jsou v matici pokrytí uvedené pravidla aktuálně aktivního naplánovaného dotazu i téměř v reálném čase (NRT).
Pomocí legendy v pravém horním rohu můžete zjistit, kolik detekcí je aktuálně aktivních ve vašem pracovním prostoru pro konkrétní techniku.
Pomocí panelu hledání v levém horním rohu vyhledejte konkrétní techniku v matici pomocí názvu nebo ID techniky a zobrazte stav zabezpečení vybrané techniky ve vaší organizaci.
Výběrem konkrétní techniky v matici zobrazíte další podrobnosti napravo. Tam pomocí odkazů přejděte na některé z následujících umístění:
V oblasti Popis vyberte Zobrazit úplné technické podrobnosti ... další informace o vybrané technice v rozhraní MITRE ATT&CK znalostní báze.
Posuňte se v podokně dolů a výběrem odkazů na některou z aktivních položek přejděte do příslušné oblasti v Microsoft Sentinelu.
Například výběrem dotazů proaktivního vyhledávání přejděte na stránku Proaktivní vyhledávání . Tam uvidíte filtrovaný seznam dotazů proaktivního vyhledávání, které jsou přidružené k vybrané technice, a k dispozici pro konfiguraci v pracovním prostoru.
Simulace možného pokrytí s využitím dostupných detekcí
V matici pokrytí MITRE simulované pokrytí odkazuje na detekce, které jsou k dispozici, ale aktuálně nejsou nakonfigurované ve vašem pracovním prostoru Služby Microsoft Sentinel. Zobrazte si simulované pokrytí, abyste porozuměli možnému stavu zabezpečení vaší organizace, když jste nakonfigurovali všechny dostupné detekce.
Ve službě Microsoft Sentinel v části Správa hrozeb vyberte MITRE ATTA&CK (Preview) a pak v nabídce Simulated vyberte položky, které simulují možný stav zabezpečení vaší organizace.
Odsud použijte prvky stránky stejně jako v opačném případě k zobrazení simulovaného pokrytí pro konkrétní techniku.
Použití architektury MITRE ATT&CK v analytických pravidlech a incidentech
Když máte naplánované pravidlo s technikami MITRE, které se pravidelně používají ve vašem pracovním prostoru Microsoft Sentinelu, zlepší se stav zabezpečení zobrazený pro vaši organizaci v matici pokrytí MITRE.
Analytická pravidla:
- Při konfiguraci analytických pravidel vyberte konkrétní techniky MITRE, které se mají na vaše pravidlo použít.
- Když hledáte analytická pravidla, vyfiltrujte pravidla zobrazená podle techniky, aby byla vaše pravidla rychlejší.
Další informace najdete v tématu Detekce předdefinovaných hrozeb a vytvoření vlastních analytických pravidel pro detekci hrozeb.
Incidenty:
Při vytváření incidentů pro výstrahy, které se zobrazují pravidly s nakonfigurovanými technikami MITRE, se tyto techniky také přidají do incidentů.
Další informace najdete v tématu Zkoumání incidentů pomocí služby Microsoft Sentinel.
Proaktivní vyhledávání hrozeb:
- Při vytváření nového dotazu proaktivního vyhledávání vyberte konkrétní taktiku a techniky, které se mají použít pro váš dotaz.
- Při hledání aktivních dotazů proaktivního vyhledávání vyfiltrujte dotazy zobrazené taktikou tak, že vyberete položku ze seznamu nad mřížkou. Výběrem dotazu zobrazíte na pravé straně podrobnosti o taktikě a technice.
- Při vytváření záložek použijte buď mapování technik zděděné z dotazu proaktivního vyhledávání, nebo vytvořte vlastní mapování.
Další informace najdete v tématu Proaktivní vyhledávání hrozeb pomocí Microsoft Sentinelu a sledování dat během proaktivního vyhledávání pomocí Microsoft Sentinelu.
Související obsah
Další informace naleznete v tématu: