Teilen über


Verstehen der Sicherheitsabdeckung durch das MITRE ATT&CK-Framework®

Wichtig

Die Seite „MITRE“ in Microsoft Sentinel befindet sich derzeit in der VORSCHAUPHASE. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

MITRE ATT&CK ist eine öffentlich zugängliche Wissensdatenbank von Taktiken und Techniken, die häufig von Angreifern verwendet werden, und wird erstellt und Standard durch Beobachtung realer Beobachtungen. Viele Organisationen verwenden die MITRE ATT&CK-Wissensdatenbank, um bestimmte Bedrohungsmodelle und Methoden zu entwickeln, die zum Überprüfen des Sicherheitsstatus in ihren Umgebungen verwendet werden.

Microsoft Sentinel analysiert erfasste Daten nicht nur, um Bedrohungen zu erkennen und Sie bei der Untersuchung zu unterstützen, sondern auch um die Art und Abdeckung des Sicherheitsstatus Ihrer Organisation zu visualisieren.

In diesem Artikel wird beschrieben, wie Sie die MITRE-Seite in Microsoft Sentinel verwenden, um die erkennungen anzuzeigen, die bereits in Ihrem Arbeitsbereich aktiv sind, und diejenigen, die Sie konfigurieren können, um die Sicherheitsabdeckung Ihrer Organisation basierend auf den Taktiken und Techniken aus dem MITRE ATT&CK-Framework® zu verstehen.

Screenshot of the MITRE coverage page with both active and simulated indicators selected.

Microsoft Sentinel ist derzeit am MITRE ATT&CK-Framework, Version 13, ausgerichtet.

Anzeigen der aktuellen MITRE-Abdeckung

Wählen Sie in Microsoft Sentinel im Menü Bedrohungsverwaltung auf der linken Seite MITRE aus. Standardmäßig werden in der Abdeckungsmatrix sowohl die derzeit aktiven Regeln für geplante Abfragen als auch die Quasi-Echtzeitregeln (Near Real-Time, NRT) angegeben.

  • Verwenden Sie die Legende oben rechts, um zu verstehen, wie viele Erkennungen derzeit in Ihrem Arbeitsbereich für eine bestimmte Methode aktiv sind.

  • Verwenden Sie die Suchleiste oben links, um anhand des Methodennamens oder der ID nach einer bestimmten Methode in der Matrix zu suchen, um den Sicherheitsstatus Ihrer Organisation für die ausgewählte Methode anzuzeigen.

  • Wählen Sie eine bestimmte Methode in der Matrix aus, um weitere Details auf der rechten Seite anzuzeigen. Verwenden Sie dort die Links, um zu einem der folgenden Orte zu wechseln:

    • Wählen Sie Details zur Ansichtstechnik aus, um weitere Informationen zur ausgewählten Technik im MITRE ATT&CK-Framework Wissensdatenbank zu erhalten.

    • Wählen Sie Links zu einem der aktiven Elemente aus, um zum relevanten Bereich in Microsoft Sentinel zu springen.

Simulieren einer möglichen Abdeckung mit verfügbaren Erkennungen

In der MITRE-Abdeckungsmatrix bezieht sich die simulierte Abdeckung auf Erkennungen, die in Ihrem Microsoft Sentinel-Arbeitsbereich verfügbar, aber derzeit nicht konfiguriert sind. Zeigen Sie Ihre simulierte Abdeckung an, um den möglichen Sicherheitsstatus Ihrer Organisation zu verstehen, wenn Sie alle für Sie verfügbaren Erkennungen konfigurieren würden.

Wählen Sie in Microsoft Sentinel im Menü Allgemein auf der linken Seite MITRE aus.

Wählen Sie Elemente im Menü Simulieren aus, um den möglichen Sicherheitsstatus Ihrer Organisation zu simulieren.

  • Verwenden Sie die Legende oben rechts, um zu verstehen, wie viele Erkennungen, einschließlich Analyseregelvorlagen oder Hunting-Abfragen, Ihnen zur Konfiguration zur Verfügung stehen.

  • Verwenden Sie die Suchleiste oben links, um anhand des Methodennamens oder der ID nach einer bestimmten Methode in der Matrix zu suchen, um den simulierten Sicherheitsstatus Ihrer Organisation für die ausgewählte Methode anzuzeigen.

  • Wählen Sie eine bestimmte Methode in der Matrix aus, um weitere Details auf der rechten Seite anzuzeigen. Verwenden Sie dort die Links, um zu einem der folgenden Orte zu wechseln:

    • Wählen Sie Details zur Ansichtstechnik aus, um weitere Informationen zur ausgewählten Technik im MITRE ATT&CK-Framework Wissensdatenbank zu erhalten.

    • Wählen Sie Links zu einem der simulierten Elemente aus, um zum relevanten Bereich in Microsoft Sentinel zu springen.

    Wählen Sie beispielsweise Hunting-Abfragen aus, um zur Seite Hunting zu wechseln. Dort sehen Sie eine gefilterte Liste der Hunting-Abfragen, die der ausgewählten Methode zugeordnet sind und Ihnen in Ihrem Arbeitsbereich zur Konfiguration zur Verfügung stehen.

Verwenden des MITRE ATT&CK-Frameworks in Analyseregeln und Vorfällen

Wenn Sie über eine geplante Regel mit angewandten MITRE-Methoden verfügen, die regelmäßig in Ihrem Microsoft Sentinel-Arbeitsbereich ausgeführt wird, verbessert dies den Sicherheitsstatus, der für Ihre Organisation in der MITRE-Abdeckungsmatrix angezeigt wird.

Nächste Schritte

Weitere Informationen finden Sie unter