Vysvětlení pokrytí zabezpečení architekturou MITRE ATT&CK®

  • Článek

Důležité

Stránka MITRE v Microsoft Sentinelu je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

MITRE ATT&CK je veřejně přístupná znalostní báze taktiky a technik, které běžně používají útočníci, a vytváří se a udržuje pozorováním reálného světa. Mnoho organizací používá MITRE ATT&CK znalostní báze k vývoji konkrétních modelů a metodologií hrozeb, které se používají k ověření stavu zabezpečení ve svých prostředích.

Microsoft Sentinel analyzuje ingestované data, nejen kvůli detekci hrozeb a pomáhá vám prozkoumat, ale také vizualizovat povahu a pokrytí stavu zabezpečení vaší organizace.

Tento článek popisuje, jak pomocí stránky MITRE v Microsoft Sentinelu zobrazit detekce, které jsou již aktivní ve vašem pracovním prostoru, a ty, které jsou k dispozici ke konfiguraci, abyste porozuměli pokrytí zabezpečení vaší organizace na základě taktiky a technik z architektury MITRE ATT&CK®.

Screenshot of the MITRE coverage page with both active and simulated indicators selected.

Microsoft Sentinel je aktuálně v souladu s architekturou MITRE ATT&CK verze 13.

Zobrazení aktuálního pokrytí MITRE

V Microsoft Sentinelu v nabídce Správa hrozeb na levé straně vyberte MITRE. Ve výchozím nastavení jsou v matici pokrytí uvedené pravidla aktuálně aktivního naplánovaného dotazu i téměř v reálném čase (NRT).

  • Pomocí legendy v pravém horním rohu můžete zjistit, kolik detekcí je aktuálně aktivních ve vašem pracovním prostoru pro konkrétní techniku.

  • Pomocí panelu hledání v levém horním rohu vyhledejte konkrétní techniku v matici pomocí názvu nebo ID techniky a zobrazte stav zabezpečení vybrané techniky ve vaší organizaci.

  • Výběrem konkrétní techniky v matici zobrazíte další podrobnosti napravo. Tam pomocí odkazů přejděte na některé z následujících umístění:

    • Další informace o vybrané technice v rozhraní MITRE ATT&CK znalostní báze vyberte Zobrazit podrobnosti o technice.

    • Výběrem odkazů na některou z aktivních položek přejdete do příslušné oblasti v Microsoft Sentinelu.

Simulace možného pokrytí s využitím dostupných detekcí

V matici pokrytí MITRE simulované pokrytí odkazuje na detekce, které jsou dostupné, ale aktuálně nejsou nakonfigurované, ve vašem pracovním prostoru Služby Microsoft Sentinel. Zobrazte si simulované pokrytí, abyste porozuměli možnému stavu zabezpečení vaší organizace, když jste nakonfigurovali všechny dostupné detekce.

V Microsoft Sentinelu v nabídce Obecné na levé straně vyberte MITRE.

Vyberte položky v nabídce Simulace a simulujte možný stav zabezpečení vaší organizace.

  • Pomocí legendy v pravém horním rohu můžete zjistit, kolik detekcí, včetně šablon analytických pravidel nebo dotazů proaktivního vyhledávání, můžete nakonfigurovat.

  • Pomocí panelu hledání v levém horním rohu můžete vyhledat konkrétní techniku v matici pomocí názvu nebo ID techniky a zobrazit simulovaný stav zabezpečení vaší organizace pro vybranou techniku.

  • Výběrem konkrétní techniky v matici zobrazíte další podrobnosti napravo. Tam pomocí odkazů přejděte na některé z následujících umístění:

    • Další informace o vybrané technice v rozhraní MITRE ATT&CK znalostní báze vyberte Zobrazit podrobnosti o technice.

    • Výběrem odkazů na některou z položek simulace přejdete do příslušné oblasti v Microsoft Sentinelu.

    Například výběrem dotazů proaktivního vyhledávání přejděte na stránku Proaktivní vyhledávání . Tam uvidíte filtrovaný seznam dotazů proaktivního vyhledávání, které jsou přidružené k vybrané technice, a k dispozici pro konfiguraci v pracovním prostoru.

Použití architektury MITRE ATT&CK v analytických pravidlech a incidentech

Když máte naplánované pravidlo s technikami MITRE, které se pravidelně používají ve vašem pracovním prostoru Microsoft Sentinelu, zlepší se stav zabezpečení zobrazený pro vaši organizaci v matici pokrytí MITRE.

  • Analytická pravidla:

    • Při konfiguraci analytických pravidel vyberte konkrétní techniky MITRE, které se mají na vaše pravidlo použít.
    • Když hledáte analytická pravidla, vyfiltrujte pravidla zobrazená podle techniky, aby byla vaše pravidla rychlejší.

    Další informace najdete v tématu Detekce předdefinovaných hrozeb a vytvoření vlastních analytických pravidel pro detekci hrozeb.

  • Incidenty:

    Při vytváření incidentů pro výstrahy, které se zobrazují pravidly s nakonfigurovanými technikami MITRE, se tyto techniky také přidají do incidentů.

    Další informace najdete v tématu Zkoumání incidentů pomocí služby Microsoft Sentinel.

  • Proaktivní vyhledávání hrozeb:

    • Při vytváření nového dotazu proaktivního vyhledávání vyberte konkrétní taktiku a techniky, které se mají použít pro váš dotaz.
    • Při hledání aktivních dotazů proaktivního vyhledávání vyfiltrujte dotazy zobrazené taktikou tak, že vyberete položku ze seznamu nad mřížkou. Výběrem dotazu zobrazíte na pravé straně podrobnosti o taktikě a technice.
    • Při vytváření záložek použijte buď mapování technik zděděné z dotazu proaktivního vyhledávání, nebo vytvořte vlastní mapování.

    Další informace najdete v tématu Proaktivní vyhledávání hrozeb pomocí Microsoft Sentinelu a sledování dat během proaktivního vyhledávání pomocí Microsoft Sentinelu.

Další kroky

Další informace naleznete v tématu: